JP2012220814A - Decryption control system, decryption capability providing device, decryption control method, decryption capability providing method, and program - Google Patents
Decryption control system, decryption capability providing device, decryption control method, decryption capability providing method, and program Download PDFInfo
- Publication number
- JP2012220814A JP2012220814A JP2011087995A JP2011087995A JP2012220814A JP 2012220814 A JP2012220814 A JP 2012220814A JP 2011087995 A JP2011087995 A JP 2011087995A JP 2011087995 A JP2011087995 A JP 2011087995A JP 2012220814 A JP2012220814 A JP 2012220814A
- Authority
- JP
- Japan
- Prior art keywords
- decoding
- output information
- decryption
- input information
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、暗号文の復号技術に関し、特に、暗号文の復号能力を制御する技術に関する。 The present invention relates to a ciphertext decryption technique, and particularly to a technique for controlling ciphertext decryption ability.
公開鍵暗号方式や共通鍵暗号方式などの暗号方式で暗号化された暗号文を復号するためには、特定の復号鍵が必要である(例えば、非特許文献1参照)。これを利用し、復号装置に復号鍵を与えるか否かによって復号装置による暗号文の復号能力を制御することが可能である。 In order to decrypt a ciphertext encrypted by an encryption method such as a public key encryption method or a common key encryption method, a specific decryption key is required (see, for example, Non-Patent Document 1). Using this, it is possible to control the decryption ability of the ciphertext by the decryption device depending on whether or not a decryption key is given to the decryption device.
しかしながら、復号装置に復号鍵を与えるか否かによって復号装置による暗号文の復号能力を制御する方法では、復号装置に復号鍵を与えることに起因する問題点がある。例えば、この方法では復号装置に復号鍵を与えた後は復号装置の復号能力を再び制限することができず、さらに、復号装置がどのような復号鍵に対応する暗号文を復号しようとしているのかについての情報が復号鍵を提供する側に知られてしまう。 However, in the method of controlling the decryption ability of the ciphertext by the decryption device depending on whether or not the decryption device is given a decryption key, there is a problem caused by giving the decryption device a decryption key. For example, in this method, after giving a decryption key to the decryption device, the decryption capability of the decryption device cannot be restricted again, and what kind of decryption key the decryption device is trying to decrypt? The information about is known to the side providing the decryption key.
本発明はこのような点に鑑みてなされたものであり、復号装置に復号鍵を与えることなく、復号装置による暗号文の復号能力を制御する技術を提供することを目的とする。 The present invention has been made in view of these points, and an object of the present invention is to provide a technique for controlling the decryption capability of a ciphertext by a decryption device without giving a decryption key to the decryption device.
本発明では、G,Hを巡回群、f(x)を群Hの元である暗号文xを特定の復号鍵で復号して群Gの元を得るための復号関数、X1,X2を群Gに値を持つ確率変数、x1を確率変数X1の実現値、x2を確率変数X2の実現値、a,bを互いに素である自然数として、復号装置が、暗号文xに対応する群Hの元である第一入力情報τ1及び第二入力情報τ2を出力し、復号能力提供装置が、第一入力情報τ1を用い、或る確率より大きな確率でf(τ1)を正しく計算し、演算結果を第一出力情報z1として出力可能であり、第二入力情報τ2を用い、或る確率より大きな確率でf(τ2)を正しく計算し、演算結果を第二出力情報z2として出力可能であり、復号装置が、第一出力情報z1から演算結果u=f(x)bx1を生成し、第二出力情報z2から演算結果v=f(x)ax2を生成し、演算結果u及びvがua=vbを満たす場合に、a’a+b’b=1を満たす整数a’,b’についてのub’va’を出力する。復号制御装置は、復号装置の復号処理を制御する復号制御命令を復号能力提供装置に出力し、復号能力提供装置は、復号制御命令に従って第一出力情報z1及び第二出力情報z2の両方の出力の有無を制御する。 In the present invention, decryption functions X 1 , X 2 for obtaining elements of the group G by decrypting the ciphertext x, which is an element of the group H, with G and H being cyclic groups and f (x) being a specific decryption key Is a random variable having a value in the group G, x 1 is a real value of the random variable X 1 , x 2 is a real value of the random variable X 2 , and a and b are natural numbers that are relatively prime, Output the first input information τ 1 and the second input information τ 2 that are elements of the group H corresponding to, and the decoding capability providing apparatus uses the first input information τ 1 and has a probability larger than a certain probability f ( τ 1 ) can be calculated correctly, and the calculation result can be output as the first output information z 1 , and the second input information τ 2 can be used to correctly calculate f (τ 2 ) with a probability greater than a certain probability. result is capable of outputting as second output information z 2, decoding apparatus, the operation result u = f from the first output information z 1 a (x) b x 1 Form, operation results from the second output information z 2 v = generates f (x) a x 2, the operation result u and v is the case that satisfies u a = v b, meet a'a + b'b = 1 Output u b ′ v a ′ for integers a ′ and b ′. The decoding control device outputs a decoding control command for controlling the decoding process of the decoding device to the decoding capability providing device, and the decoding capability providing device outputs both the first output information z 1 and the second output information z 2 according to the decoding control command. Controls the presence or absence of output.
第一出力情報z1及び第二出力情報z2が復号装置に与えられた場合、復号装置はある確率でub’va’を出力できる。ub’va’は高い確率で暗号文xの復号値となる。一方、第一出力情報z1及び第二出力情報z2の両方が復号装置に与えられなかった場合、復号装置は暗号文xの復号値を得ることができない。本発明では、復号能力提供装置による第一出力情報z1及び第二出力情報z2の両方の出力の有無を制御することで、復号装置に復号鍵を与えることなく、復号装置による暗号文の復号能力を制御できる。 When the first output information z 1 and the second output information z 2 are given to the decoding device, the decoding device can output u b ′ v a ′ with a certain probability. u b ′ v a ′ becomes a decrypted value of the ciphertext x with high probability. On the other hand, when both the first output information z 1 and the second output information z 2 are not given to the decryption device, the decryption device cannot obtain the decrypted value of the ciphertext x. In the present invention, by controlling whether or not both the first output information z 1 and the second output information z 2 are output by the decryption capability providing device, the decryption device provides the decryption key without giving a decryption key. Decoding ability can be controlled.
以下、図面を参照して本発明の実施形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[第一実施形態]
まず、本発明の第一実施形態を説明する。
[First embodiment]
First, a first embodiment of the present invention will be described.
<構成>
図1に例示するように、第一実施形態の復号制御システム1は、例えば、復号鍵を保持していない復号装置11と復号鍵を保持する復号能力提供装置12と復号装置11の復号能力を制御する復号制御装置13とを有する。復号制御装置13は復号能力提供装置12から復号装置11へ提供される復号能力を制御し、復号装置11は復号能力提供装置12から提供された復号能力を用いて暗号文を復号する。復号装置11と復号能力提供装置12と復号制御装置13とは情報のやり取りが可能なように構成される。例えば、復号装置11と復号能力提供装置12と復号制御装置13とは、伝送線やネットワークや可搬型記録媒体などを経由した情報のやり取りが可能とされている。
<Configuration>
As illustrated in FIG. 1, the
図2に例示するように、第一実施形態の復号装置11は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部1104と第一計算部1105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部1108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と最終出力部1112と制御部1113とを有する。復号装置11の例は、カードリーダライタ装置や携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたCPU(central processing unit)やRAM(random−access memory)を備えた公知又は専用のコンピュータなどである。
As illustrated in FIG. 2, the
図3に例示するように、第一実施形態の復号能力提供装置12は、例えば、第一出力情報計算部1201と第二出力情報計算部1202と鍵記憶部1204と制御部1205とを有する。復号能力提供装置12の例は、ICカードやICチップなどの耐タンパ性モジュールや、携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたCPUやRAMを備えた公知又は専用のコンピュータなどである。
As illustrated in FIG. 3, the decryption
図4に例示するように、第一実施形態の復号制御装置13は、例えば、暗号文記憶部1301と制御命令部1302と出力部1303と制御部1304とを有する。復号制御装置13の例は、携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたCPUやRAMを備えた公知又は専用のコンピュータなどである。
As illustrated in FIG. 4, the
<復号処理>
次に本形態の復号処理を説明する。復号処理の前提として、G,Hを巡回群、f(x)を群Hの元である暗号文xを特定の復号鍵sで復号して群Gの元を得るための復号関数、群G,Hの生成元をそれぞれμg,μh、X1,X2を群Gに値を持つ確率変数、確率変数X1の実現値をx1、確率変数X2の実現値をx2とする。また、復号装置11の自然数記憶部1101には、互いに素である2つの自然数a,bの組(a,b)が複数種類記憶されているものとする。「自然数」とは0以上の整数を意味する。Iを群Gの位数未満の2つの自然数の組で互いに素なものの集合とすると、自然数記憶部1101にはIの部分集合Sに対応する自然数a,bの組(a,b)が記憶されていると考えることができる。また、復号能力提供装置12の鍵記憶部2104には、特定の復号鍵sが安全に格納されているものとする。また、復号制御装置13の暗号文記憶部1301には暗号文xが格納されているものとする。なお、復号装置11の各処理は制御部1113の制御のもとで実行され、復号能力提供装置12の各処理は制御部1205の制御のもとで実行され、復号制御装置13の各処理は制御部1304の制御のもとで実行される。
<Decryption process>
Next, the decoding process of this embodiment will be described. As a premise of the decryption process, G and H are cyclic groups, f (x) is a decryption function for decrypting a ciphertext x that is an element of the group H with a specific decryption key s, and a group G each mu g the generator of H,
図7に例示するように、まず、復号装置11(図2)の自然数選択部1102が、自然数記憶部1101に記憶された複数の自然数の組(a,b)から1つの自然数の組(a,b)をランダムに読み込む。読み込まれた自然数の組(a,b)の少なくとも一部の情報は、整数計算部1103、入力情報提供部1104、第一べき乗計算部1106及び第二べき乗計算部1109に送られる(ステップS1100)。
As illustrated in FIG. 7, first, the natural
整数計算部1103は、送られた自然数の組(a,b)を用いて、a’a+b’b=1の関係を満たす整数a’,b’を計算する。自然数a,bは互いに素であるため、a’a+b’b=1の関係を満たす整数a’,b’は必ず存在して、その計算方法もよく知られている。たとえば拡張互除法などのよく知られたアルゴリズムによって整数a’,b’が計算され、自然数の組(a’,b’)の情報は、最終出力部1112に送られる(ステップS1101)。
The
制御部1113は、t=1とする(ステップS1102)。
The
復号制御装置13(図4)の暗号文記憶部1301に格納されている暗号文xが出力部1303から出力され、復号装置11(図2)に入力される。復号装置11の入力情報提供部1104は、入力された暗号文xにそれぞれ対応する群Hの元である第一入力情報τ1及び第二入力情報τ2を生成して出力する。好ましくは、第一入力情報τ1及び第二入力情報τ2はそれぞれ暗号文xとの関係をかく乱させた情報である。これにより、復号装置11は、暗号文xを復号能力提供装置12に対して隠蔽できる。また、好ましくは、本形態の第一入力情報τ1は自然数選択部1102で選択された自然数bにさらに対応し、第二入力情報τ2は自然数選択部1102で選択された自然数aにさらに対応する。これにより、復号能力提供装置12から提供された復号能力を復号装置11が高い精度で評価できる(ステップS1103)。
The ciphertext x stored in the
図8に例示するように、第一入力情報τ1は復号能力提供装置12(図3)の第一出力情報計算部1201に入力され、第二入力情報τ2は第二出力情報計算部1202に入力される(ステップS1200)。
As illustrated in FIG. 8, the first input information τ 1 is input to the first output
第一出力情報計算部1201は、第一入力情報τ1と鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(τ1)を正しく計算し、得られた計算結果を第一出力情報z1とする(ステップS1201)。第二出力情報計算部1202は、第二入力情報τ2と鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(τ2)を正しく計算し、得られた演算結果を第二出力情報z2とする(ステップS1202)。なお、「或る確率」は100%未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータkについての広義単調増加関数である多項式を多項式ψ(k)とした場合の1/ψ(k)以上の確率である。すなわち、第一出力情報計算部1201や第二出力情報計算部1202は、意図的又は意図的ではない誤差を含んだ計算結果を出力し得る。言い換えると、第一出力情報計算部1201での計算結果がf(τ1)の場合もあればf(τ1)でない場合もあり、第二出力情報計算部1202での計算結果がf(τ2)の場合もあればf(τ2)でない場合もある。
The first output
第一出力情報計算部1201は第一出力情報z1を出力し、第二出力情報計算部1202は第二出力情報z2を出力する(ステップS1203)。
The first output
図7に戻り、第一出力情報z1は復号装置11(図2)の第一計算部1105に入力され、第二出力情報z2は第二計算部1108に入力される。これらの第一出力情報z1及び第二出力情報z2が、復号能力提供装置12から復号装置11に与えられた復号能力に相当する(ステップS1104)。
Returning to FIG. 7, the first output information z 1 is input to the
第一計算部1105は、第一出力情報z1から演算結果u=f(x)bx1を生成する。ここで、f(x)bx1を生成(計算)するとは、f(x)bx1と定義される式の値を計算することである。式f(x)bx1の値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。演算結果uは第一べき乗計算部1106に送られる(ステップS1105)。
The
第一べき乗計算部1106はu’=uaを計算する。計算結果uとその計算結果に基づいて計算されたu’との組(u,u’)は、第一リスト記憶部1107に記憶される(ステップS1106)。
The first
判定部1111は、第一リスト記憶部1107に記憶された組(u,u’)及び第二リスト記憶部1110に記憶された組(v,v’)の中で、u’=v’となるものがあるか判定する(ステップS1107)。もし、第二リスト記憶部1110に組(v,v’)が記憶されていない場合には、このステップS1107の処理を行わずに、次のステップS1108の処理を行う。u’=v’となるものがあった場合には、ステップS1114に進む。u’=v’となるものがなかった場合には、ステップS1108に進む。
The
ステップS1108では、第二計算部1108が、第二出力情報z2から演算結果v=f(x)ax2を生成する。演算結果vは第二べき乗計算部1109に送られる(ステップS1108)。
In step S1108, the
第二べき乗計算部1109はv’=vbを計算する。計算結果vとその計算結果に基づいて計算されたv’との組(v,v’)は、第二リスト記憶部1110に記憶される(ステップS1109)。
The second
判定部1111は、第一リスト記憶部1107に記憶された組(u,u’)及び第二リスト記憶部1110に記憶された組(v,v’)の中で、u’=v’となるものがあるか判定する(ステップS1110)。u’=v’となるものがあった場合には、ステップS1114に進む。u’=v’となるものがなかった場合には、ステップS1111に進む。
The
ステップS1111では、制御部1113がt=Tであるか判定する(ステップS1111)。Tは予め定められた1以上の自然数である。t=Tであれば、最終出力部1112が、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して(ステップS1113)、処理を終える。t=Tでない場合には、制御部1113は、tを1だけインクリメント、すなわちt=t+1(t+1を新たなt)として(ステップS1112)、ステップS1103に戻る。
In step S1111, the
計算をすることができなかった旨の情報(この例では記号「⊥」)は、復号能力提供装置12が正しく計算を行う信頼性がTで定められる基準を下回るということを意味する。言い換えれば、T回の繰り返しで正しい演算を行うことができなかったということを意味する。
Information indicating that the calculation could not be performed (in this example, the symbol “⊥”) means that the reliability with which the decoding
ステップS1114では、最終出力部1112が、u’=v’であると判定されたu’及びv’に対応するu及びvを用いてub’va’を計算して、出力する(ステップS1114)。このように計算されたub’va’は高い確率で暗号文xを特定の復号鍵sで復号した復号結果f(x)となる(高い確率でub’va’=f(x)となる理由については後述する)。よって、上述した処理を複数回繰り返し、ステップS1114で得られた値のうち最も頻度の高い値を復号結果とすればよい。また、後述するように、設定によっては圧倒的な確率でub’va’=f(x)となる。その場合にはステップS1114で得られた値をそのまま復号結果としてよい。
In step S1114, the
≪高い確率でub’va’=f(x)となる理由について≫
Xを群Gに値を持つ確率変数とする。w∈Gについて、要求を受けるたびに確率変数Xに従った標本x’に対応するwx’を返すものを、wについて誤差Xを持つ標本器(sampler)と呼ぶ。
<< Reason why u b ' v a' = f (x) with high probability >>
Let X be a random variable whose value is in group G. For wεG, the one that returns wx ′ corresponding to the sample x ′ according to the random variable X every time a request is received is called a sampler having an error X for w.
w∈Gについて、自然数aが与えられるたびに確率変数Xに従った標本x’に対応するwax’を返すものを、wについて誤差Xを持つ乱数化可能標本器(randomizable sampler)と呼ぶ。乱数化可能標本器はa=1として用いられれば標本器として機能する。 For w∈G, each time a natural number a is given, the one that returns w a x ′ corresponding to the sample x ′ according to the random variable X is called a randomizable sampler having an error X with respect to w. . A randomizable sampler functions as a sampler if a = 1 is used.
本実施形態の入力情報提供部1104と第一出力情報計算部1201と第一計算部1105との組み合わせが、f(x)について誤差X1を持つ乱数化可能標本器(「第一乱数化可能標本器」と呼ぶ)であり、入力情報提供部1104と第二出力情報計算部1202と第二計算部1108との組み合わせが、f(x)について誤差X2を持つ乱数化可能標本器(「第二乱数化可能標本器」と呼ぶ)である。
The combination of the input
u’=v’が成立するのは、すなわちua=vbが成立するのは、第一乱数化可能標本器がu=f(x)bを正しく計算しており、第二乱数化可能標本器がv=f(x)aを正しく計算している(x1及びx2が群Gの単位元egである)可能性が高いことを発明者は見出した。説明の簡略化の観点から、この証明は第五実施形態で行う。 u ′ = v ′ is satisfied, that is, u a = v b is satisfied because the first randomizable sampler correctly calculates u = f (x) b and can be converted to a second random number. sampler is v = f (x) is correctly calculate a (x 1 and x 2 are the identity e g in the group G) potential inventor that is high found. From the viewpoint of simplifying the explanation, this proof is performed in the fifth embodiment.
第一乱数化可能標本器がu=f(x)bを正しく計算しており、第二乱数化可能標本器がv=f(x)aを正しく計算しているとき(x1及びx2が群Gの単位元egであるとき)、ub’va’=(f(x)bx1)b’(f(x)ax2)a’=(f(x)beg)b’(f(x)aeg)a’=f(x)bb’eg b’f(x)aa’eg a’=f(x)(bb’+aa’)=f(x)となる。 When the first randomizable sampler correctly calculates u = f (x) b and the second randomizable sampler correctly calculates v = f (x) a (x 1 and x 2 Is the unit element e g of the group G), u b ′ v a ′ = (f (x) b x 1 ) b ′ (f (x) a x 2 ) a ′ = (f (x) b e g) b '(f (x ) a e g) a' = f (x) bb 'e g b' f (x) aa 'e g a' = f (x) (bb '+ aa') = f ( x).
また、(q1,q2)∈Iについて、i=1,2の各々について関数πiをπi(q1,q2)=qiで定義する。さらに、L=min(♯π1(S),♯π2(S))とする。♯・は、集合・の位数である。群Gが巡回群や位数の計算が困難な群であるときには、復号装置11が「⊥」以外を出力するときの出力がf(x)ではない確率は、無視できる程度の誤差の範囲で高々T2L/♯S程度と期待することができる。もしL/♯Sが無視できる量でTが多項式オーダー程度の量であれば、復号装置11は圧倒的な確率で正しいf(x)を出力する。L/♯Sが無視できる量になるようなSの例には、例えばS={(1,d)|d∈[2,|G|−1]}がある。
For (q 1 , q 2 ) ∈I, a function π i is defined as π i (q 1 , q 2 ) = q i for each of i = 1 and 2 . Further, L = min (# π 1 (S), # π 2 (S)). # · Is the order of the set. When the group G is a cyclic group or a group whose order is difficult to calculate, the probability that the output when the
<復号制御処理>
次に、本形態の復号制御処理を説明する。
<Decryption control processing>
Next, the decoding control process of this embodiment will be described.
復号制御装置13が復号装置11の復号処理を制御する場合、復号制御装置13は、復号装置11の復号処理を制御する復号制御命令を復号能力提供装置12に出力する。復号能力提供装置12は、入力された復号制御命令に従って、第一出力情報z1及び第二出力情報z2の両方の出力の有無を制御する。復号装置11は、第一出力情報z1及び第二出力情報z2が与えられなければ暗号文xを復号することができない。そのため、第一出力情報z1及び第二出力情報z2の両方の出力の有無を制御することで、復号装置11の復号能力を制御できる。以下に復号処理の制御方法を例示する。
When the
≪復号処理の制御方法の例1≫
復号処理の制御方法の例1では、復号制御命令が復号装置11の復号能力を制限するための復号制限命令com−1を含み、復号制限命令com−1が復号能力提供装置12の制御部1205に入力された場合に制御部1205が第一出力情報z1及び第二出力情報z2の両方の出力を禁止する。
<< Example 1 of Decoding Process Control Method >>
In Example 1 of the decoding control method, the decoding control instruction includes a decoding restriction instruction com-1 for limiting the decoding capability of the
復号装置11の復号能力を制限する場合、復号制御装置13(図4)の制御命令部1302が復号制限命令com−1を出力する。復号制限命令com−1は出力部1303から復号能力提供装置12に出力される。
When the decoding capability of the
復号能力提供装置12(図3)の制御部1205は、復号制限命令com−1が入力されたか否かを判断し、復号制限命令com−1が制御部1205に入力されない場合には復号制御処理を行わない。一方、復号制限命令com−1が制御部1205に入力された場合には、制御部1205は第一出力情報z1及び第二出力情報z2の両方の出力を禁止する制御を行う(復号制限モード)。
The
復号制限モードでは、制御部1205が第一出力情報計算部1201による第一出力情報z1の出力及び第二出力情報計算部1201による第二出力情報z2の出力の両方を禁止する。第一出力情報z1及び/又は第二出力情報z2の出力を禁止する制御の一例は、第一出力情報z1及び/又は第二出力情報z2の生成は禁止しないがこれらの出力を禁止する制御である。第一出力情報z1及び/又は第二出力情報z2の出力を禁止する制御の他の例は、第一出力情報z1及び/又は第二出力情報z2の代わりにダミー情報を出力させる制御である。なお、ダミー情報の例は、乱数その他の暗号文xに依存しない情報である。第一出力情報z1及び/又は第二出力情報z2の出力を禁止する制御の別の例は、第一出力情報z1及び/又は第二出力情報z2の生成自体を禁止する制御である。第一出力情報z1及び/又は第二出力情報z2の生成自体を禁止する制御を行う場合には、第一出力情報z1及び/又は第二出力情報z2の生成を行うために必要な情報を無効又は削除してもよいし、しなくてもよい。例えば、鍵記憶部1204に格納された復号鍵sを無効又は削除してもよいし、しなくてもよい。
In the decryption restriction mode, the
第一出力情報z1及び第二出力情報z2の両方の出力が禁止された場合、復号能力提供装置12はステップS1203で第一出力情報z1及び第二出力情報z2の両方を出力しない。そのため、復号装置11はステップS1104で第一出力情報z1及び第二出力情報z2の両方を取得できず、演算結果u及びvを計算できないため、正しい復号結果を得ることができない。これにより、復号装置11の復号能力を制限できる。
When the output of both the first output information z 1 and the second output information z 2 is prohibited, the decoding
≪復号処理の制御方法の例2≫
復号処理の制御方法の例2では、復号制御命令が復号装置11の復号能力の制限を開放するための復号開放命令com−2を含み、復号開放命令com−2が復号能力提供装置12の制御部1205に入力された場合、制御部1205は第一出力情報z1及び第二出力情報z2の少なくとも一方の出力を許可する。復号処理の制御方法の例2は、例えば、復号処理の制御方法の例1によって第一出力情報z1及び第二出力情報z2の両方の出力が禁止された後、再び、第一出力情報z1及び第二出力情報z2の出力を許可する場合に行われる。この際、第一出力情報z1及び/又は第二出力情報z2の生成を行うために必要な情報が無効又は削除されていた場合には、復号開放命令com−2が当該情報を含み、当該情報を復号能力提供装置12に再設定することにしてもよい。その他、復号処理の制御方法の例2は、例えば、初期状態において第一出力情報z1及び第二出力情報z2の両方の出力が禁止されている場合に、第一出力情報z1及び第二出力情報z2の出力を許可する場合に行われてもよい。
<< Example 2 of control method of decoding process >>
In example 2 of the control method of the decoding process, the decoding control instruction includes a decoding release instruction com-2 for releasing the restriction of the decoding capability of the
復号装置11の復号能力の制限を開放する場合、復号制御装置13(図4)の制御命令部1302が復号開放命令com−2を出力する。復号制限命令com−2は出力部1303から復号能力提供装置12に出力される。
When the restriction on the decoding capability of the
復号能力提供装置12(図3)の制御部1205は、復号開放命令com−2が入力されたか否かを判断し、復号開放命令com−2が制御部1205に入力されていない場合には復号制御処理を行わない。一方、復号開放命令com−2が制御部1205に入力された場合には、制御部1205は第一出力情報z1及び第二出力情報z2の両方の出力を許可する制御を行う(復号許可モード)。
The
第一出力情報z1及び第二出力情報z2の両方の出力が許可された場合、復号能力提供装置12はステップS1203で第一出力情報z1又は第二出力情報z2の両方を出力する。そのため、復号装置11はステップS1104で第一出力情報z1又は第二出力情報z2の両方を取得でき、演算結果u又はvを計算できるため、高い確率で復号結果を得ることができる。これにより、復号装置11の復号能力の制限を開放することができる。
If both outputs of the first output information z 1 and the second output information z 2 is permitted, the decoding
[第二実施形態]
第二実施形態の復号制御システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した例である。以下、第一実施形態と異なる部分を中心に説明し、復号制御処理などの共通する部分については重複説明を省略する。以下の説明において、同一の参照番号が付された部分は同一の機能を持つものとし、同一の参照番号が付されたステップは同一の処理を表すものとする。
[Second Embodiment]
The decoding control system of the second embodiment is an example in which the first randomizable sampler and the second randomizable sampler described above are embodied. Hereinafter, the description will focus on parts that are different from the first embodiment, and redundant description of common parts such as decoding control processing will be omitted. In the following description, parts denoted by the same reference numbers have the same function, and steps denoted by the same reference numbers represent the same processing.
<構成>
図1に例示するように、第二実施形態の復号制御システム2は、復号装置11が復号装置21に置換され、復号能力提供装置12が復号能力提供装置22に置換されたものである。
<Configuration>
As illustrated in FIG. 1, in the
図2に例示するように、第二実施形態の復号装置21は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部2104と第一計算部2105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部2108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と最終出力部1112と制御部1113とを有する。図5に例示するように、本形態の入力情報提供部2104は、例えば、第一乱数生成部2104aと第一入力情報計算部2104bと第二乱数生成部2104cと第二入力情報計算部2104dとを有する。
As illustrated in FIG. 2, the decoding device 21 of the second embodiment includes, for example, a natural
図3に例示するように、第二実施形態の復号能力提供装置22は、例えば、第一出力情報計算部2201と第二出力情報計算部2202と鍵記憶部1204と制御部1205とを有する。
As illustrated in FIG. 3, the decryption
<復号処理>
次に本形態の復号処理を説明する。第二実施形態では、復号関数f(x)を準同型関数とし、群Hの生成元をμh、群Hの位数をKH、ν=f(μh)とする。復号関数f(x)が準同型関数である例はRSA暗号などである。その他の前提は、復号装置11が復号装置21に置換され、復号能力提供装置12が復号能力提供装置22に置換されている以外、第一実施形態と同一である。
<Decryption process>
Next, the decoding process of this embodiment will be described. In the second embodiment, the decoding function f (x) is a homomorphic function, the generation source of the group H is μ h , the order of the group H is K H , and ν = f (μ h ). An example in which the decryption function f (x) is a homomorphic function is RSA encryption. Other preconditions are the same as those in the first embodiment except that the
図7及び図8に例示するように、第二実施形態の処理は第一実施形態のステップS1103〜S1105,S1108,S1200〜S1203が、それぞれ、ステップS2103〜S2105,S2108,S2200〜S2203に置換されたものである。以下ではステップS2103〜S2105,S2108,S2200〜S2203の処理のみを説明する。 As illustrated in FIGS. 7 and 8, in the process of the second embodiment, steps S1103 to S1105, S1108, and S1200 to S1203 of the first embodiment are replaced with steps S2103 to S2105, S2108, and S2200 to S2203, respectively. It is a thing. Only the processing of steps S2103 to S2105, S2108, S2200 to S2203 will be described below.
《ステップS2103の処理》
復号装置21(図2)の入力情報提供部2104は、入力された暗号文xにそれぞれ対応する第一入力情報τ1及び第二入力情報τ2を生成して出力する(図7/ステップS2103)。以下、図9を用いて本形態のステップS2103の処理を説明する。
<< Processing in Step S2103 >>
The input
第一乱数生成部2104a(図5)は、0以上KH未満の自然数の一様乱数r1を生成する。生成された乱数r1は、第一入力情報計算部2104b及び第一計算部2105に送られる(ステップS2103a)。第一入力情報計算部2104bは、入力された乱数r1と暗号文xと自然数bとを用いて第一入力情報τ1=μh r1xbを計算する(ステップS2103b)。ここで、μhの右肩のr1は、r1のことである。このように、この出願において、αを第一の文字、βを第二の文字、γを数字として、αβγと表記した場合には、そのβγはβγ、すなわちβの下付きγを意味する。
The first random
第二乱数生成部2104cは、0以上KH未満の自然数の一様乱数r2を生成する。生成された乱数r2は、第二入力情報計算部2104d及び第二計算部2108に送られる(ステップS2103c)。第二入力情報計算部2104dは、入力された乱数r2と暗号文xと自然数aとを用いて第二入力情報τ2=μh r2xaを計算する(ステップS2103d)。
Second random
第一入力情報計算部2104b及び第二入力情報計算部2104dは、以上のように生成した第一入力情報τ1及び第二入力情報τ2を出力する(ステップS2103e)。なお、本形態の第一入力情報τ1及び第二入力情報τ2は、それぞれ、乱数r1,r2によって暗号文xとの関係をかく乱させた情報である。これにより、復号装置22は、暗号文xを復号能力提供装置22に対して隠蔽できる。また、本形態の第一入力情報τ1は自然数選択部1102で選択された自然数bにさらに対応し、第二入力情報τ2は自然数選択部1102で選択された自然数aにさらに対応する。これにより、復号能力提供装置22から提供された復号能力を復号装置21が高い精度で評価できる。
The first input
《ステップS2200〜S2203の処理》
図8に例示するように、まず、第一入力情報τ1=μh r1xbが復号能力提供装置22(図3)の第一出力情報計算部2201に入力され、第二入力情報τ2=μh r2xaが第二出力情報計算部2202に入力される(ステップS2200)。
<< Processes in Steps S2200 to S2203 >>
As illustrated in FIG. 8, first input information τ 1 = μ h r1 x b is first input to the first output information calculation unit 2201 of the decoding capability providing device 22 (FIG. 3), and the second input information τ 2. = Μ h r2 x a is input to the second output information calculation unit 2202 (step S2200).
第一出力情報計算部2201は、第一入力情報τ1=μh r1xbと鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(μh r1xb)を正しく計算し、得られた計算結果を第一出力情報z1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部2201での計算結果がf(μh r1xb)となる場合もあれば、f(μh r1xb)とならない場合もある(ステップS2201)。
The first output information calculation unit 2201 uses the first input information τ 1 = μ h r1 x b and the decryption key s stored in the
第二出力情報計算部2202は、第二入力情報τ2=μh r2xaと鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(μh r2xa)を正しく計算し、得られた計算結果を第二出力情報z2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部2202での計算結果がf(μh r2xa)となる場合もあれば、f(μh r2xa)とならない場合もある(ステップS2202)。
The second output information calculation unit 2202 uses the second input information τ 2 = μ h r2 x a and the decryption key s stored in the
第一出力情報計算部2201は第一出力情報z1を出力し、第二出力情報計算部2202は第二出力情報z2を出力する(ステップS2203)。 The first output information calculation unit 2201 outputs the first output information z 1, the second output information calculation unit 2202 outputs the second output information z 2 (step S2203).
《ステップS2104及びS2105の処理》
図7に戻り、第一出力情報z1は復号装置21(図2)の第一計算部2105に入力され、第二出力情報z2は第二計算部2108に入力される。これらの第一出力情報z1及び第二出力情報z2が、復号能力提供装置22から復号装置21に与えられた復号能力に相当する(ステップS2104)。
<< Processing in Steps S2104 and S2105 >>
Returning to FIG. 7, the first output information z 1 is input to the
第一計算部2105は、入力された乱数r1及び第一出力情報z1を用いてz1ν−r1を計算してその計算結果をuとする。計算結果uは、第一べき乗計算部1106に送られる。ここで、u=z1ν−r1=f(x)bx1となる。すなわち、z1ν−r1は、f(x)について誤差X1を持つ乱数化可能標本器の出力となる。その理由については後述する(ステップS2105)。
The
《ステップS2108の処理》
第二計算部2108は、入力された乱数r2及び第二出力情報z2を用いてz2ν−r2を計算してその計算結果をvとする。計算結果vは、第二べき乗計算部1109に送られる。ここで、v=z2ν−r2=f(x)ax2となる。すなわち、z2ν−r2は、f(x)について誤差X2を持つ乱数化可能標本器の出力となる。その理由については後述する(ステップS2108)。
<< Processing in Step S2108 >>
The second calculation unit 2108 calculates z 2 v −r2 using the input random number r 2 and the second output information z 2 and sets the calculation result to v. The calculation result v is sent to the second
≪z1ν−r1,z2ν−r2がf(x)についてそれぞれ誤差X1,X2を持つ乱数化可能標本器の出力となる理由について≫
cを自然数、R及びR’を乱数として、復号能力提供装置22がμh Rxcを用いて行う計算の計算結果をB(μh Rxc)とする。すなわち、第一出力情報計算部2201や第二出力情報計算部2202が復号装置21に返す計算結果をz=B(μh Rxc)とする。さらに、群Gに値を持つ確率変数XをX=B(μh R’)f(μh R’)−1と定義する。
<< Reason why z 1 ν -r 1 and z 2 ν -r 2 are output from a randomizable sampler having errors X 1 and X 2 with respect to f (x), respectively >>
The c is a natural number, as a random number R and R ', the calculation result of the calculation is decoding
このとき、zν−R=B(μh Rxc)f(μh)−R=Xf(μh Rxc)f(μh)−R=Xf(μh)Rf(x)cf(μh)−R=f(x)cXとなる。すなわち、zν−Rは、f(x)について誤差Xを持つ乱数化可能標本器の出力となる。 At this time, zν -R = B (μ h R x c) f (μ h) -R = Xf (μ h R x c) f (μ h) -R = Xf (μ h) R f (x) c f ([mu] h ) -R = f (x) cX . That is, zν− R is an output of a randomizable sampler having an error X with respect to f (x).
上記式展開において、X=B(μh R’)f(μh R’)−1=B(μh Rxc)f(μh Rxc)−1であり、B(μh Rxc)=Xf(μh Rxc)であるという性質を用いている。この性質は、関数f(x)が準同型関数であり、R及びR’が乱数であることに基づく。 In the above formula deployment, X = B (μ h R ') f (μ h R') -1 = B (μ h R x c) f (μ h R x c) is -1, B (μ h R x c ) = Xf (μ h R x c ). This property is based on the fact that the function f (x) is a homomorphic function and R and R ′ are random numbers.
したがって、a,bが自然数、r1,r2が乱数であることを考慮すると、同様に、z1ν−r1,z2ν−r2がf(x)についてそれぞれ誤差X1,X2を持つ乱数化可能標本器の出力となるのである。 Accordingly, considering that a and b are natural numbers and r 1 and r 2 are random numbers, similarly, z 1 ν −r1 and z 2 ν −r2 respectively give errors X 1 and X 2 with respect to f (x). This is the output of a randomizable sampler.
[第三実施形態]
第三実施形態は第二実施形態の変形例であり、a=1やb=1のときに前述した標本器によってu又はvの値を計算する。一般に乱数化可能標本器よりも標本器の計算量は小さい。a=1やb=1のときに乱数化可能標本器に代わり、標本器が計算を行うことで、復号制御システムの計算量を小さくすることができる。以下、第一実施形態及び第二実施形態と異なる部分を中心に説明し、復号制御処理などの共通する部分については重複説明を省略する。
[Third embodiment]
The third embodiment is a modification of the second embodiment, and the value of u or v is calculated by the above-described sampler when a = 1 or b = 1. In general, the amount of calculation of a sampler is smaller than that of a randomizable sampler. When a = 1 or b = 1, the sampler performs the calculation instead of the randomizable sampler, so that the calculation amount of the decoding control system can be reduced. Hereinafter, the description will focus on parts different from those of the first embodiment and the second embodiment, and redundant description of common parts such as decoding control processing will be omitted.
<構成>
図1に例示するように、第三実施形態の復号制御システム3は、復号装置21が復号装置31に置換され、復号能力提供装置22が復号能力提供装置32に置換されたものである。
<Configuration>
As illustrated in FIG. 1, in the decoding control system 3 of the third embodiment, the decoding device 21 is replaced with a decoding device 31, and the decoding
図2に例示するように、第三実施形態の復号装置31は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部2104と第一計算部2105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部2108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と最終出力部1112と制御部1113と第三計算部3109とを有する。
As illustrated in FIG. 2, the decoding device 31 of the third embodiment includes, for example, a natural
図3に例示するように、第三実施形態の復号能力提供装置32は、例えば、第一出力情報計算部2201と第二出力情報計算部2202と鍵記憶部1204と制御部1205と第三出力情報計算部3203とを有する。
As illustrated in FIG. 3, the decryption capability providing apparatus 32 according to the third embodiment includes, for example, a first output information calculation unit 2201, a second output information calculation unit 2202, a
<復号処理>
次に本形態の復号処理を説明する。第二実施形態との相違点を説明する。
<Decryption process>
Next, the decoding process of this embodiment will be described. Differences from the second embodiment will be described.
図7及び図8に例示するように、第三実施形態の処理は第二実施形態のステップS2103〜S2105,S2108,S2200〜S2203が、それぞれ、ステップS3103〜S3105,S3108,S2200〜S2203及びS3205〜S3209に置換されたものである。以下ではステップS3103〜S3105,S3108,S2200〜S2203及びS3205〜S3209の処理を中心に説明する。 As illustrated in FIGS. 7 and 8, the processing of the third embodiment includes steps S2103 to S2105, S2108, S2200 to S2203 of the second embodiment, steps S3103 to S3105, S3108, S2200 to S2203, and S3205, respectively. It has been replaced with S3209. Below, it demonstrates centering on the process of step S3103-S3105, S3108, S2200-S2203, and S3205-S3209.
《ステップS3103の処理》
復号装置31(図2)の入力情報提供部3104は、入力された暗号文xにそれぞれ対応する第一入力情報τ1及び第二入力情報τ2を生成して出力する(図7/ステップS3103)。
<< Processing in Step S3103 >>
The input
以下、図9を用いて本形態のステップS3103の処理を説明する。 Hereinafter, the processing in step S3103 of this embodiment will be described with reference to FIG.
制御部1113(図2)は、自然数選択部1102で選択された自然数(a,b)に応じて入力情報提供部3104を制御する。
The control unit 1113 (FIG. 2) controls the input
制御部1113でbが1であるかが判定され(ステップS3103a)、b≠1であると判定された場合、前述のステップS2103a及びS2103bの処理が実行され、ステップS3103gに進む。 Whether or not b is 1 is determined by the control unit 1113 (step S3103a). If it is determined that b ≠ 1, the processes of steps S2103a and S2103b described above are executed, and the process proceeds to step S3103g.
一方、ステップS3103aでb=1であると判定された場合、第三乱数生成部3104eが、0以上KH未満の自然数の乱数r3を生成する。生成された乱数r3は第三入力情報計算部3104f及び第三計算部3109に送られる(ステップS3103b)。第三入力情報計算部3104fは、入力された乱数r3と暗号文xとを用いてxr3を計算し、これを第一入力情報τ1とする(ステップS3103c)。その後、ステップS3103gに進む。
On the other hand, if it is determined that b = 1 in step S3103a, the third random
ステップS3103gでは、制御部1113でaが1であるかが判定され(ステップS3103g)、a≠1であると判定された場合、前述のステップS2103c及びステップS2103dの処理が実行される。 In step S3103g, whether or not a is 1 is determined by the control unit 1113 (step S3103g). If it is determined that a ≠ 1, the processes in steps S2103c and S2103d described above are executed.
一方、ステップS3103gでa=1であると判定された場合、第三乱数生成部3104eが、0以上KH未満の自然数の乱数r3を生成する。生成された乱数r3は第三入力情報計算部3104fに送られる(ステップS3103h)。第三入力情報計算部3104fは、入力された乱数r3と暗号文xとを用いてxr3を計算し、これを第二入力情報τ2とする(ステップS3103i)。
On the other hand, if it is determined that a = 1 at step S3103g, third random
第一入力情報計算部2104b、第二入力情報計算部2104d、第三入力情報計算部3104fは、以上のように生成した第一入力情報τ1及び第二入力情報τ2を対応する自然数(a,b)の情報とともに出力する(ステップS3103e)。なお、本形態の第一入力情報τ1及び第二入力情報τ2は、それぞれ、乱数r1,r2,r3によって暗号文xとの関係をかく乱させた情報である。これにより、復号装置31は、暗号文xを復号能力提供装置32に対して隠蔽できる。
The first input
《S2200〜S2203及びS3205〜S3209の処理》
以下、図8を用いて本形態のS2200〜S2203及びS3205〜S3209の処理を説明する。
<< Processing of S2200 to S2203 and S3205 to S3209 >>
Hereinafter, the processing of S2200 to S2203 and S3205 to S3209 of this embodiment will be described with reference to FIG.
制御部1205(図3)は、入力された自然数(a,b)に応じ、第一出力情報計算部2201、第二出力情報計算部2202、及び第三出力情報計算部3203を制御する。
The control unit 1205 (FIG. 3) controls the first output information calculation unit 2201, the second output information calculation unit 2202, and the third output
制御部1205の制御に基づき、b≠1の場合の第一入力情報τ1=μh r1xbは復号能力提供装置32(図3)の第一出力情報計算部2201に入力され、a≠1の場合の第二入力情報τ2=μh r2xaは第二出力情報計算部2202に入力される。また、b=1の場合の第一入力情報τ1=xr3やa=1の場合の第二入力情報τ2=xr3は第三出力情報計算部3203に入力される(ステップS3200)。
Based on the control of the
制御部1113でbが1であるかが判定され(ステップS3205)、b≠1であると判定された場合、前述のステップS2201の処理が実行される。その後、制御部1113でaが1であるかが判定され(ステップS3208)、a≠1であると判定された場合、前述したステップS2202の処理が実行されてステップS3203に進む。
The
一方、ステップS3208でa=1であると判定された場合、第三出力情報計算部3203は、第二入力情報τ2=xr3を用い、或る確率より大きな確率でf(xr3)を正しく計算し、得られた計算結果を第三出力情報z3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部3203での計算結果がf(xr3)となる場合もあれば、f(xr3)とならない場合もある(ステップS3209)。その後、ステップS3203に進む。
On the other hand, if it is determined in step S3208 that a = 1, the third output
また、ステップS3205でb=1であると判定された場合、第三出力情報計算部3203は、第二入力情報τ1=xr3を用い、或る確率より大きな確率でf(xr3)を正しく計算し、得られた計算結果を第三出力情報z3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部3203での計算結果がf(xr3)となる場合もあれば、f(xr3)とならない場合もある(ステップS3206)。
If it is determined in step S3205 that b = 1, the third output
その後、制御部1113でaが1であるかが判定され(ステップS3207)、a=1であると判定された場合にはステップS3203に進み、a≠1であると判定された場合にはステップS2202に進む。
Thereafter, the
ステップS3203では、第一出力情報z1を生成した第一出力情報計算部2201は第一出力情報z1を出力し、第二出力情報z2を生成した第二出力情報計算部2202は第二出力情報z2を出力し、第三出力情報z3を生成した第三出力情報計算部2202は第三出力情報z3を出力する(ステップS3203)。 In step S3203, the first output information calculation unit 2201 generates the first output information z 1 outputs the first output information z 1, the second output information calculation unit 2202 to generate a second output information z 2 second outputs the output information z 2, the third output information calculation unit 2202 to generate a third output information z 3 outputs a third output information z 3 (step S3203).
《ステップS3104及びS3105の処理》
図7に戻り、制御部1113の制御のもと、第一出力情報z1は復号装置31(図2)の第一計算部2105に入力され、第二出力情報z2は第二計算部2108に入力され、第三出力情報z3は第三計算部3109に入力される(ステップS3104)。
<< Processing in Steps S3104 and S3105 >>
Returning to FIG. 7, under the control of the
b≠1であれば、第一計算部2105が、前述のステップS2105の処理によってuを生成し、b=1であれば、第三計算部3109が、z3 1/r3を計算してその計算結果をuとする。計算結果uは第一べき乗計算部1106に送られる。ここで、b=1の場合、u=z3 1/r3=f(x)x3となる。すなわち、z3 1/r3は、f(x)について誤差X3を持つ標本器となる。その理由については後述する(ステップS3105)。
If b ≠ 1, the
《ステップS3108の処理》
a≠1であれば、第二計算部2108が、前述のステップS2108の処理によってvを生成し、a=1であれば、第三計算部3109が、z3 1/r3を計算してその計算結果をvとする。計算結果vは第二べき乗計算部1109に送られる。ここで、a=1の場合、v=z3 1/r3=f(x)x3となる。すなわち、z3 1/r3は、f(x)について誤差X3を持つ標本器となる。その理由については後述する(ステップS3108)。
<< Process of Step S3108 >>
If a ≠ 1, the second calculation unit 2108 generates v by the process of step S2108 described above. If a = 1, the
なお、z3 1/r3の計算、すなわちz3のべき乗根の計算が困難な場合には、次のようにしてu及び/又はvを計算してもよい。第三計算部3109は、乱数r3とその乱数r3に基づいて計算されたz3の組を順次(α1,β1),(α2,β2),…,(αm,βm),…として図示していない記憶部に記憶する。mは1以上の自然数である。第三計算部3109は、α1,α2,…,αmの最小公倍数が1になれば、γ1,γ2,…,γmを整数としてγ1α1+γ2α2+…+γmαm=1となるγ1,γ2,…,γmを計算して、そのγ,γ2,…,γmを用いてΠi=1 mβi γi=β1 γ1β2 γ2…βm γmを計算して、その計算結果をu及び/又はvとしてもよい。
If calculation of z 3 1 / r 3 , that is, calculation of the power root of z 3 is difficult, u and / or v may be calculated as follows. The
≪z3 1/r3がf(x)について誤差X3を持つ標本器となる理由について≫
Rを乱数として、復号能力提供装置32がxRを用いて行う計算の計算結果をB(xR)とする。すなわち、第一出力情報計算部2201や第二出力情報計算部2202や第三出力情報計算部3203が復号装置31に返す計算結果をz=B(xR)とする。さらに、群Gに値を持つ確率変数XをX=B(xR)1/Rf(x)−1と定義する。
<< Reason why z 3 1 / r3 is a sampler having an error X 3 with respect to f (x) >>
The R as a random number, the decoding capability providing device 32 the calculation result of the calculation and B (x R) performed using x R. That is, the calculation result returned from the first output information calculation unit 2201, the second output information calculation unit 2202, and the third output
このとき、z1/R=B(xR)1/R=Xf(x)=f(x)Xとなる。すなわち、z1/Rは、f(x)について誤差Xを持つ標本器となる。 In this case, the z 1 / R = B (x R) 1 / R = Xf (x) = f (x) X. That is, z 1 / R becomes a sampler having an error X with respect to f (x).
上記式展開において、X=B(xR)1/Rf(xR)−1であり、B(xR)1/R=Xf(xR)であるという性質を用いている。この性質は、Rが乱数であることに基づく。 In the above formula deployment, an X = B (x R) 1 / R f (x R) -1, is used a property that is B (x R) 1 / R = Xf (x R). This property is based on the fact that R is a random number.
したがって、r3が乱数であることを考慮すると、同様に、z3 1/r3がf(x)について誤差X3を持つ標本器となるのである。 Therefore, considering that r 3 is a random number, similarly, z 3 1 / r 3 becomes a sampler having an error X 3 with respect to f (x).
[第四実施形態]
第四実施形態の復号制御システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、H=G×G、復号関数f(x)がElGamal暗号の復号関数、すなわち復号鍵s及び暗号文x=(c1,c2)に対してf(c1,c2)=c1c2 −sである場合の第一乱数化可能標本器及び第二乱数化可能標本器の例を具体化したものである。以下、第一実施形態と異なる部分を中心に説明し、復号制御処理などの共通する部分については重複説明を省略する。
[Fourth embodiment]
The decoding control system of the fourth embodiment is another example in which the first randomizable sampler and the second randomizable sampler described above are embodied. Specifically, H = G × G and the decryption function f (x) is a decryption function of ElGamal encryption, that is, f (c 1 , c 2 ) with respect to the decryption key s and ciphertext x = (c 1 , c 2 ). ) = C 1 c 2 −s is an example of the first randomizable sampler and the second randomizable sampler. Hereinafter, the description will focus on parts that are different from the first embodiment, and redundant description of common parts such as decoding control processing will be omitted.
図1に例示するように、第四実施形態の復号制御システム4は、復号装置11が復号装置41に置換され、復号能力提供装置12が復号能力提供装置42に置換されたものである。
As illustrated in FIG. 1, in the decoding control system 4 of the fourth embodiment, the
図2に例示するように、第四実施形態の復号装置41は、例えば、自然数記憶部1101と自然数選択部1102と整数計算部1103と入力情報提供部4104と第一計算部4105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部4108と第二べき乗計算部1109と第二リスト記憶部1110と判定部1111と最終出力部1112と制御部1113とを有する。図6に例示するように、本形態の入力情報提供部4104は、例えば、第四乱数生成部4104aと第五乱数生成部4104bと第一入力情報計算部4104cと第六乱数生成部4104dと第七乱数生成部4104eと第二入力情報計算部4104fとを有する。第一入力情報計算部4104cは、例えば、第四入力情報計算部4104caと第五入力情報計算部4104cbとを有し、第二入力情報計算部4104fは、第六入力情報計算部4104faと第七入力情報計算部4104fbとを有する。
As illustrated in FIG. 2, the decoding device 41 according to the fourth embodiment includes, for example, a natural
図3に例示するように、第四実施形態の復号能力提供装置42は、例えば、第一出力情報計算部4201と第二出力情報計算部4202と鍵記憶部1204と制御部1205とを有する。
As illustrated in FIG. 3, the decryption capability providing apparatus 42 according to the fourth embodiment includes, for example, a first output information calculation unit 4201, a second output information calculation unit 4202, a
<復号処理>
次に本形態の復号処理を説明する。第四実施形態では、群H=G×G、暗号文x=(c1,c2)∈Hであり、f(c1,c2)が準同型関数であり、群Gの生成元をμgとし、群Gの位数をKGとし、同じ復号鍵sに対する暗号文(V,W)∈Hとその暗号文を復号した復号文f(V,W)=Y∈Gとの組が復号装置41及び復号能力提供装置42に事前設定され、復号装置41及び復号能力提供装置42がこの組を利用可能とされているものとする。
<Decryption process>
Next, the decoding process of this embodiment will be described. In the fourth embodiment, the group H = G × G, the ciphertext x = (c 1 , c 2 ) ∈H, f (c 1 , c 2 ) is a homomorphic function, and the generator of the group G is and mu g, the order of the group G and K G, the ciphertext for the same decryption key s (V, W) ∈H and deciphertext f (V, W) obtained by decoding the ciphertext = set of the Y∈G Are preset in the decoding device 41 and the decoding capability providing device 42, and the decoding device 41 and the decoding capability providing device 42 are allowed to use this set.
図7及び図8に例示するように、第四実施形態の処理は第一実施形態のステップS1103〜S1105,S1108,S1200〜S1203が、それぞれ、ステップS4103〜S4105,S4108,S4200〜S4203に置換されたものである。以下ではステップS4103〜S4105,S4108,S4200〜S4203の処理のみを説明する。 As illustrated in FIGS. 7 and 8, in the process of the fourth embodiment, steps S1103 to S1105, S1108, and S1200 to S1203 of the first embodiment are replaced with steps S4103 to S4105, S4108, and S4200 to S4203, respectively. It is a thing. Hereinafter, only the processes of steps S4103 to S4105, S4108, and S4200 to S4203 will be described.
《ステップS4103の処理》
復号装置41(図2)の入力情報提供部4104は、入力された暗号文x=(c1,c2)に対応する第一入力情報τ1及び暗号文x=(c1,c2)に対応する第二入力情報τ2を生成して出力する(図7/ステップS4103)。以下、図10を用いて本形態のステップS4103の処理を説明する。
<< Process of Step S4103 >>
Decoder 41 input information providing unit 4104 (FIG. 2) is, ciphertext is input x = (c 1, c 2) a first input information corresponding to tau 1 and the ciphertext x = (c 1, c 2) The second input information τ 2 corresponding to is generated and output (FIG. 7 / step S4103). Hereinafter, the processing in step S4103 of this embodiment will be described with reference to FIG.
第四乱数生成部4104a(図6)は、0以上KG未満の自然数の一様乱数r4を生成する。生成された乱数r4は、第四入力情報計算部4104ca、第五入力情報計算部4104cb、及び第一計算部4105に送られる(ステップS4103a)。第五乱数生成部4104bは、0以上KG未満の自然数の一様乱数r5を生成する。生成された乱数r5は、第五入力情報計算部4104cb、及び第一計算部4105に送られる(ステップS4103b)。
Fourth random number generating unit 4104A (FIG. 6) generates a uniform random number r 4 natural numbers from 0 to less than K G. Random number r 4 generated is sent fourth input information calculating unit 4104Ca, fifth input information calculating unit 4104Cb, and the first calculation unit 4105 (Step S4103a). Fifth random
第四入力情報計算部4104caは、自然数選択部1102で選択された自然数b、暗号文xが含むc2、及び乱数r4を用い、第四入力情報c2 bWr4を計算する(ステップS4103c)。第五入力情報計算部4104cbは、自然数選択部1102で選択された自然数b、暗号文xが含むc1、及び乱数r4,r5を用い、第五入力情報c1 bVr4μg r5を計算する(ステップS4103d)。
The fourth input information calculation unit 4104ca calculates the fourth input information c 2 b W r4 using the natural number b selected by the natural
第六乱数生成部4104dは、0以上KG未満の自然数の一様乱数r6を生成する。生成された乱数r6は、第六入力情報計算部4104fa、第七入力情報計算部4104fb、及び第二計算部4108に送られる(ステップS4103e)。第七乱数生成部4104eは、0以上KG未満の自然数の一様乱数r7を生成する。生成された乱数r7は、第七入力情報計算部4104fb、及び第二計算部4108に送られる(ステップS4103f)。
Sixth random
第六入力情報計算部4104faは、自然数選択部1102で選択された自然数a、暗号文xが含むc2、及び乱数r6を用い、第六入力情報c2 aWr6を計算する(ステップS4103g)。第七入力情報計算部4104fbは、自然数選択部1102で選択された自然数a、暗号文xが含むc1、及び乱数r6,r7を用い、第七入力情報c1 aVr6μg r7を計算する(ステップS4103h)。
The sixth input information calculation unit 4104fa calculates the sixth input information c 2 a W r6 using the natural number a selected by the natural
第一入力情報計算部4104cは、以上のように生成した第四入力情報c2 bWr4及び第五入力情報c1 bVr4μg r5を第一入力情報τ1=(c2 bWr4,c1 bVr4μg r5)として出力する。第二入力情報計算部4104fは、以上のように生成した第六入力情報c2 aWr6及び第七入力情報c1 aVr6μg r7を第二入力情報τ2=(c2 aWr6,c1 aVr6μg r7)として出力する(ステップS4103i)。
The first input
《ステップS4200〜S4203の処理》
図8に例示するように、まず、第一入力情報τ1=(c2 bWr4,c1 bVr4μg r5)が復号能力提供装置42(図3)の第一出力情報計算部4201に入力され、第二入力情報τ2=(c2 aWr6,c1 aVr6μg r7)が第二出力情報計算部4202に入力される(ステップS4200)。
<< Steps S4200 to S4203 >>
As illustrated in FIG. 8, first, the first output information calculating unit of the first input information τ 1 = (c 2 b W r4, c 1 b V r4 μ g r5) is decoding capability providing apparatus 42 (FIG. 3) are input to the 4201, the second input information τ 2 = (c 2 a W r6, c 1 a V r6 μ g r7) is input to the second output information calculation unit 4202 (step S4200).
第一出力情報計算部4201は、第一入力情報τ1=(c2 bWr4,c1 bVr4μg r5)と鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(c1 bVr4μg r5,c2 bWr4)を正しく計算し、計算結果を第一出力情報z1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部4201での計算結果がf(c1 bVr4μg r5,c2 bWr4)となる場合もあれば、f(c1 bVr4μg r5,c2 bWr4)とならない場合もある(ステップS4201)。
First output information calculating unit 4201, using the first input information τ 1 = (c 2 b W r4, c 1 b V r4 μ g r5) and the decryption key s stored in the
第二出力情報計算部4202は、第二入力情報τ2=(c2 aWr6,c1 aVr6μg r7)と鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(c1 aVr6μg r7,c2 aWr6)を正しく計算可能であり、得られた計算結果を第二出力情報z2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部4202での計算結果がf(c1 aVr6μg r7,c2 aWr6)となる場合もあれば、f(c1 aVr6μg r7,c2 aWr6)とならない場合もある(ステップS4202)。
The second output information calculating unit 4202, using the second input information τ 2 = (c 2 a W r6, c 1 a V r6 μ g r7) and the decryption key s stored in the
第一出力情報計算部4201は第一出力情報z1を出力し、第二出力情報計算部4202は第二出力情報z2を出力する(ステップS4203)。 The first output information calculation unit 4201 outputs the first output information z 1, the second output information calculation unit 4202 outputs the second output information z 2 (step S4203).
《ステップS4104及びS4105の処理》
図7に戻り、第一出力情報z1は復号装置41(図2)の第一計算部4105に入力され、第二出力情報z2は第二計算部4108に入力される(ステップS4104)。
<< Processing in Steps S4104 and S4105 >>
Returning to FIG. 7, the first output information z 1 is input to the
第一計算部4105は、入力された第一出力情報z1及び乱数r4,r5を用い、z1Y−r4μg −r5を計算してその計算結果をuとする(ステップS4105)。計算結果uは、第一べき乗計算部1106に送られる。ここで、u=z1Y−r4μg −r5=f(c1,c2)bx1となる。すなわち、z1Y−r4μg −r5は、f(c1,c2)について誤差X1を持つ乱数化可能標本器の出力となる。その理由については後述する。
《ステップS4108の処理》
第二計算部4108は、入力された第二出力情報z2及び乱数r6,r7を用い、z2Y−r6μg −r7を計算してその計算結果をvとする。計算結果vは、第二べき乗計算部1109に送られる。ここで、v=z2Y−r6μg −r7=f(c1,c2)ax2となる。すなわち、z2Y−r6μg −r7は、f(c1,c2)について誤差X2を持つ乱数化可能標本器の出力となる。その理由については後述する。
<< Process of Step S4108 >>
The second calculation unit 4108, using the second output information z 2 and the random number r 6, r 7 inputted, calculates the z 2 Y -r6 μ g -r7 to the calculation result v. The calculation result v is sent to the second
≪z1Y−r4μg −r5,z2Y−r6μg −r7がf(c1,c2)についてそれぞれ誤差X1,X2を持つ乱数化可能標本器の出力となる理由について≫
cを自然数、R1、R2、R1’及びR2’を乱数として、復号能力提供装置42がc1 cVR1μg R2及びc2 cWR1を用いて行う計算の計算結果をB(c1 cVR1μg R2,c2 cWR1)とする。すなわち、第一出力情報計算部4201や第二出力情報計算部4202が復号装置41に返す計算結果をz=B(c1 cVR1μg R2,c2 cWR1)とする。さらに、群Gに値を持つ確率変数XをX=B(VR1’μg R2’,WR1’)f(VR1’μg R2’,WR1’)−1と定義する。
«Z 1 Y -r4 μ g -r5, the reason why the z 2 Y -r6 μ g -r7 is the output of the random number of possible sampler with each
The c natural numbers, as R 1, R 2, a random number R 1 'and R 2', the calculation result of the calculation performed decoding capability provides device 42 with c 1 c V R1 μ g R2 and c 2 c W R1 and B (c 1 c V R1 μ g R2, c 2 c W R1). That is, the calculation results of the first output information calculation unit 4201 and the second output information calculation unit 4202 returns to the decoding apparatus 41 z = B (c 1 c V R1 μ g R2, c 2 c W R1). Further, define the random variable X with the value in the group G X = B (V R1 ' μ g R2', W R1 ') f (V R1' μ g R2 ', W R1') -1 and.
このとき、zY−R1μg −R2=B(c1 cVR1μg R2,c2 cWR1)Y−R1μg −R2=Xf(c1 cVR1μg R2,c2 cWR1)Y−R1μg −R2=Xf(c1,c2)cf(V,W)R1f(μg,eg)R2Y−R1μg −R2=Xf(c1,c2)cYR1μg R2Y−R1μg −R2=f(c1,c2)cXとなる。すなわち、zY−R1μg −R2は、f(x)について誤差Xを持つ乱数化可能標本器の出力となる。なお、egは、群Gの単位元である。
At this time, zY -R1 μ g -R2 = B (c 1 c V R1 μ g R2, c 2 c W R1) Y -R1 μ g -R2 = Xf (c 1 c V R1 μ g R2, c 2 c W R1) Y -R1 μ g -R2 = Xf (
上記式展開において、X=B(VR1’μg R2’,WR1’)f(VR1’μg R2’,WR1’)−1=B(c1 cVR1μg R2,c2 cWR1)f(c1 cVR1μg R2,c2 cWR1)であり、B(c1 cVR1μg R2,c2 cWR1)=Xf(c1 cVR1μg R2,c2 cWR1)であるという性質を用いている。この性質は、R1、R2、R1’及びR2’が乱数であることに基づく。 In the above formula deployment, X = B (V R1 ' μ g R2', W R1 ') f (V R1' μ g R2 ', W R1') -1 = B (c 1 c V R1 μ g R2, c 2 c W R1) is f (c 1 c V R1 μ g R2, c 2 c W R1), B (c 1 c V R1 μ g R2, c 2 c W R1) = Xf (c 1 c V R1 μ g R2 , c 2 c W R1 ). This property is based on the fact that R 1 , R 2 , R 1 ′ and R 2 ′ are random numbers.
したがって、a,bが自然数、r4,r5,r6及びr7が乱数であることを考慮すると、同様に、z1Y−r4μg −r5,z2Y−r6μg −r7がf(c1,c2)についてそれぞれ誤差X1,X2を持つ乱数化可能標本器の出力となるのである。 Therefore, a, b are natural numbers and r 4, r 5, r 6 and r 7 is considered to be a random number, similarly, z 1 Y -r4 μ g -r5 , z 2 Y -r6 μ g -r7 Is the output of a randomizable sampler with errors X 1 and X 2 for f (c 1 , c 2 ), respectively.
[第五実施形態]
上述の各実施形態では、復号装置の自然数記憶部1101に、互いに素である2つの自然数a,bの組(a,b)が複数種類記憶され、これらの組(a,b)を用いて各処理が実行されることとした。しかしながら、a,bの一方が定数であってもよい。例えば、aが1に固定されていてもよいし、bが1に固定されていてもよい。言い換えると、第一乱数化可能標本器又は第二乱数化可能標本器の一方が標本器に置換されていてもよい。a,bの一方が定数である場合、定数とされたa又はbを選択する処理が不要となり、各処理部は定数とされたa又はbが入力されることなく、それを定数として扱って計算を行うことができる。また、定数とされたa又はbが1である場合には、a’やb’を用いることなく、f(x)=ub’va’をf(x)=v又はf(x)=uとして得ることができる。
[Fifth embodiment]
In each of the above-described embodiments, the natural
第五実施形態は、そのような変形の一例であり、bが1に固定され、第二乱数化可能標本器が標本器に置換された形態である。以下では、第一実施形態との相違点を中心に説明し、復号制御処理などの第一実施形態と共通する事項については説明を省略する。また、第一乱数化可能標本器や標本器の具体例も、第二実施形態から第四実施形態で説明したのと同様であるため、説明を省略する。 The fifth embodiment is an example of such a modification, in which b is fixed to 1 and the second randomizable sampler is replaced with a sampler. Below, it demonstrates centering around difference with 1st embodiment, and abbreviate | omits description about matters common to 1st embodiment, such as a decoding control process. Specific examples of the first randomizable sampler and the sampler are the same as those described in the second to fourth embodiments, and thus the description thereof is omitted.
<構成>
図1に例示するように、第五実施形態の復号制御システム5は、第一実施形態の復号装置11が復号装置51に置換され、復号能力提供装置12が復号能力提供装置52に置換されたものである。
<Configuration>
As illustrated in FIG. 1, in the decoding control system 5 of the fifth embodiment, the
図11に例示するように、第五実施形態の復号装置51は、例えば、自然数記憶部5101と自然数選択部5102と入力情報提供部5104と第一計算部5105と第一べき乗計算部1106と第一リスト記憶部1107と第二計算部5108と第二リスト記憶部5110と判定部5111と最終出力部1112と制御部1113とを有する。
As illustrated in FIG. 11, the
図3に例示するように、第五実施形態の復号能力提供装置52は、例えば、第一出力情報計算部5201と第二出力情報計算部5202と鍵記憶部1204と制御部1205とを有する。
As illustrated in FIG. 3, the decryption capability providing apparatus 52 of the fifth embodiment includes, for example, a first output
<復号処理>
次に本形態の復号処理を説明する。復号処理の前提として、G,Hを巡回群、f(x)を群Hの元である暗号文xを特定の復号鍵sで復号して群Gの元を得るための復号関数、群G,Hの生成元をそれぞれμg,μh、X1,X2を群Gに値を持つ確率変数、確率変数X1の実現値をx1、確率変数X2の実現値をx2とする。また、復号装置51の自然数記憶部5101には、自然数aが複数種類記憶されているものとする。
<Decryption process>
Next, the decoding process of this embodiment will be described. As a premise of the decryption process, G and H are cyclic groups, f (x) is a decryption function for decrypting a ciphertext x that is an element of the group H with a specific decryption key s, and a group G each mu g the generator of H,
図12に例示するように、まず、復号装置51(図11)の自然数選択部5102が、自然数記憶部5101に記憶された複数の自然数aから1つの自然数aをランダムに読み込む。読み込まれた自然数aの情報は、入力情報提供部5104及び第一べき乗計算部1106に送られる(ステップS5100)。
As illustrated in FIG. 12, first, the natural
制御部1113は、t=1とする(ステップS1102)。
The
入力情報提供部5104は、入力された暗号文xにそれぞれ対応する第一入力情報τ1及び第二入力情報τ2を生成して出力する。好ましくは、第一入力情報τ1及び第二入力情報τ2はそれぞれ暗号文xとの関係をかく乱させた情報である。これにより、復号装置51は、暗号文xを復号能力提供装置52に対して隠蔽できる。また、好ましくは、本形態の第二入力情報τ2は自然数選択部5102で選択された自然数aにさらに対応する。これにより、復号能力提供装置52から提供された復号能力を復号装置51が高い精度で評価できる(ステップS5103)。第一入力情報τ1及び第二入力情報τ2の組みの具体例は、第二実施形態から第四実施形態の何れかのb=1とした第一入力情報τ1及び第二入力情報τ2の組みである。
The input
図8に例示するように、第一入力情報τ1は復号能力提供装置52(図3)の第一出力情報計算部5201に入力され、第二入力情報τ2は第二出力情報計算部5202に入力される(ステップS5200)。
As illustrated in FIG. 8, the first input information τ 1 is input to the first output
第一出力情報計算部5201は、第一入力情報τ1と鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(τ1)を正しく計算し、得られた計算結果を第一出力情報z1とする(ステップS5201)。第二出力情報計算部5202は、第二入力情報τ2と鍵記憶部1204に格納された復号鍵sとを用い、或る確率より大きな確率でf(τ2)を正しく計算し、得られた演算結果を第二出力情報z2とする(ステップS5202)。すなわち、第一出力情報計算部5201や第二出力情報計算部5202は、意図的又は意図的ではない誤差を含んだ計算結果を出力する。言い換えると、第一出力情報計算部5201での計算結果がf(τ1)の場合もあればf(τ1)でない場合もあり、第二出力情報計算部5202での計算結果がf(τ2)の場合もあればf(τ2)でない場合もある。第一出力情報z1及び第二出力情報z2の組の具体例は、第二実施形態から第四実施形態の何れかのb=1とした第一出力情報z1及び第二出力情報z2の組である。
The first output
第一出力情報計算部5201は第一出力情報z1を出力し、第二出力情報計算部5202は第二出力情報z2を出力する(ステップS5203)。
The first output
図12に戻り、第一出力情報z1は復号装置51(図11)の第一計算部5105に入力され、第二出力情報z2は第二計算部5108に入力される。これらの第一出力情報z1及び第二出力情報z2が、復号能力提供装置52から復号装置51に与えられた復号能力に相当する(ステップS5104)。
Returning to FIG. 12, the first output information z 1 is input to the
第一計算部5105は、第一出力情報z1から演算結果u=f(x)x1を生成する。演算結果uの具体例は、第二実施形態から第四実施形態の何れかのb=1とした演算結果uである。演算結果uは第一べき乗計算部1106に送られる(ステップS5105)。
The
第一べき乗計算部1106はu’=uaを計算する。計算結果uとその計算結果に基づいて計算されたu’との組(u,u’)は、第一リスト記憶部1107に記憶される(ステップS1106)。
The first
第二計算部5108は、第二出力情報z2から演算結果v=f(x)ax2を生成する。演算結果vの具体例は、第二実施形態から第四実施形態の何れかの演算結果vである。演算結果vは第二リスト記憶部5110に記憶される(ステップS5108)。
The
判定部5111は、第一リスト記憶部1107に記憶された組(u,u’)及び第二リスト記憶部5110に記憶されたvの中で、u’=vとなるものがあるか判定する(ステップS5110)。u’=vとなるものがあった場合には、ステップS5114に進む。u’=vとなるものがなかった場合には、ステップS1111に進む。
The
ステップS1111では、制御部1113がt=Tであるか判定する(ステップS1111)。Tは予め定められた1以上の自然数である。t=Tであれば、最終出力部1112が、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して(ステップS1113)、処理を終える。t=Tでない場合には、制御部1113は、tを1だけインクリメント、すなわちt=t+1として(ステップS1112)、ステップS5103に戻る。
In step S1111, the
ステップS5114では、最終出力部1112が、u’=vであると判定されたu’に対応するuを出力する(ステップS5114)。このように得られたuは、第一実施形態から第四実施形態でb=1とした場合のub’va’に相当する。すなわち、このように得られたuは高い確率で暗号文xを特定の復号鍵sで復号した復号結果f(x)となる。よって、上述した処理を複数回繰り返し、ステップS5114で得られた値のうち最も頻度の高い値を復号結果とすればよい。また、後述するように、設定によっては圧倒的な確率でu=f(x)となる。その場合にはステップS5114で得られた値をそのまま復号結果としてよい。
In step S5114, the
≪復号結果f(x)が得られる理由について≫
次に、本形態の復号装置51で復号結果f(x)が得られる理由を説明する。まず、説明に必要な事項を定義する。
<< Reason for Decoding Result f (x) >>
Next, the reason why the decoding result f (x) is obtained by the
ブラックボックス(black−box):
f(τ)のブラックボックスF(τ)とは、τ∈Hを入力としてz∈Gを出力する処理部を意味する。本形態では、第一出力情報計算部5201及び第二出力情報計算部5202が、それぞれ復号関数f(τ)のブラックボックスF(τ)に相当する。群Hから任意に選択された元τ∈UH及びz=F(τ)に対してz=f(τ)を満たす確率がδ(0<δ≦1)よりも大きい場合、すなわち、
Pr[z=f(τ)|τ∈UH,z=F(τ)]>δ …(1)
を満たすf(τ)のブラックボックスF(τ)のことを、信頼性δ(δ−reliable)のf(τ)のブラックボックスF(τ)という。なお、δは正の値であり、前述した「或る確率」に相当する。
Black-box:
The black box F (τ) of f (τ) means a processing unit that inputs τεH and outputs zεG. In this embodiment, the first output
Pr [z = f (τ) | τ∈ U H, z = F (τ)]> δ ... (1)
A black box F (τ) of f (τ) that satisfies the above is called a black box F (τ) of f (τ) with reliability δ (δ-reliable). Δ is a positive value and corresponds to the “certain probability” described above.
自己訂正器(self−corrector):
自己訂正器CF(x)とは、x∈Hを入力とし、f(τ)のブラックボックスF(τ)を用いて計算を行い、j∈G∪⊥を出力する処理部を意味する。本形態では、復号装置51が自己訂正器CF(x)に相当する。
Self-corrector:
The self-corrector C F (x) means a processing unit that receives x∈H, performs calculation using the black box F (τ) of f (τ), and outputs j∈G∪⊥. In this embodiment, the
オールモスト自己訂正器(almost self−corrector):
自己訂正器CF(x)が、x∈Hを入力とし、δ−reliableのf(τ)のブラックボックスF(τ)を用い、正しい値j=f(x)を出力する確率が、誤った値j≠f(x)を出力する確率よりも十分大きい場合を想定する。すなわち、
Pr[j=f(x)|j=CF(x),j≠⊥]
>Pr[j≠f(x)|j=CF(x),j≠⊥]+Δ …(2)
を満たす場合を想定する。なお、Δは或る正の値(0<Δ<1)である。このような場合、自己訂正器CF(x)はオールモスト自己訂正器であるという。例えば、或る正の値Δ’(0<Δ’<1)に対して
Pr[j=f(x)|j=CF(x)]>(1/3)+Δ’
Pr[j=⊥|j=CF(x)]<1/3
Pr[j≠f(x)かつj≠⊥|j=CF(x)]<1/3
を満たす場合、自己訂正器CF(x)はオールモスト自己訂正器である。Δ’の例はΔ’=1/12や1/3である。
Almost self-corrector:
If the self-corrector C F (x) receives x∈H and uses the black box F (τ) of f (τ) of δ-reliable, the probability that the correct value j = f (x) is output is incorrect. Assume that the value j ≠ f (x) is sufficiently larger than the probability of outputting. That is,
Pr [j = f (x) | j = C F (x), j ≠ ⊥]
> Pr [j ≠ f (x) | j = C F (x), j ≠ ⊥] + Δ (2)
Assuming that Δ is a certain positive value (0 <Δ <1). In such a case, the self-corrector C F (x) is said to be an all-most self-corrector. For example, Pr [j = f (x) | j = C F (x)]> (1/3) + Δ ′ for a certain positive value Δ ′ (0 <Δ ′ <1)
Pr [j = ⊥ | j = C F (x)] <1/3
Pr [j ≠ f (x) and j ≠ ⊥ | j = C F (x)] <1/3
If the condition is satisfied, the self-corrector C F (x) is an all-most self-corrector. Examples of Δ ′ are Δ ′ = 1/12 and 1/3.
ローバスト自己訂正器(robust self−corrector):
自己訂正器CF(x)が、x∈Hを入力とし、δ−reliableのf(τ)のブラックボックスF(τ)を用い、正しい値j=f(x)又はj=⊥を出力する確率が圧倒的である場合を想定する。すなわち、無視することができる誤差ξ(0≦ξ<1)に対して
Pr[j=f(x)またはj=⊥|j=CF(x)]>1−ξ …(3)
を満たす場合を想定する。このような場合、自己訂正器CF(x)はローバスト自己訂正器であるという。なお、無視することができる誤差ξの例は、セキュリティパラメータkの関数値ξ(k)である。関数値ξ(k)の例は、任意の多項式p(k)について、十分大きいkに対して{ξ(k)p(k)}が0に収束するものである。関数値ξ(k)の具体例は、ξ(k)=2−kやξ(k)=2−√kなどである。
Robust self-corrector:
The self-corrector C F (x) takes x∈H as an input and outputs a correct value j = f (x) or j = ⊥ using a black box F (τ) of f (τ) of δ-reliable. Assume that the probability is overwhelming. That is, Pr [j = f (x) or j = ⊥ | j = C F (x)]> 1-ξ (3) with respect to an error ξ (0 ≦ ξ <1) that can be ignored.
Assuming that In such a case, the self-corrector C F (x) is said to be a robust self-corrector. An example of the error ξ that can be ignored is the function value ξ (k) of the security parameter k. An example of the function value ξ (k) is such that {ξ (k) p (k)} converges to 0 for a sufficiently large k for an arbitrary polynomial p (k). Specific examples of the function value ξ (k) are ξ (k) = 2− k and ξ (k) = 2− √k .
また、オールモスト自己訂正器からローバスト自己訂正器を構成することができる。すなわち、同一のxに対してオールモスト自己訂正器を複数回実行させ、⊥を除いて最も頻度が高い出力値をjとすることで、ローバスト自己訂正器を構成できる。例えば、同一のxに対してオールモスト自己訂正器をO(log(1/ξ))回実行させ、最も頻度が高い出力値をjとすることで、ローバスト自己訂正器を構成できる。なお、O(・)はオー記法を表す。 In addition, a robust self-corrector can be constructed from an all-most self-corrector. That is, a robust self-corrector can be configured by executing the all-most self-corrector a plurality of times for the same x and setting j as the most frequent output value excluding wrinkles. For example, a robust self-corrector can be constructed by executing an all-most self-corrector O (log (1 / ξ)) times for the same x and setting j as the most frequent output value. O (•) represents the O-notation.
擬似自由(pseudo−free)な作用:
群G、自然数の集合Ω={0,...,M}(Mは1以上の自然数)、群Gに値を持つ確率変数X1,X2の各実現値α∈X1(α≠eg),β∈X2、及びa∈Ωについて、αa=βとなる確率
Pr[αa=βかつα≠eg|a∈UΩ,α∈X1,β∈X2] …(4)
について、あらゆる可能なX1,X2に関する上限値を、組(G,Ω)の疑似自由指標とよび、これをP(G,Ω)と表すことにする。ある無視することができる関数ζ(k)が存在して、
P(G,Ω)<ζ(k) …(5)
である場合、組(G,Ω)によって定義される演算は擬似自由な作用であるという。なお、「αa」は、群Gで定義された演算をαに対してa回作用させることを意味する。また、無視することができる関数ζ(k)の例は、任意の多項式p(k)について、十分大きいkに対して{ζ(k)p(k)}が0に収束するものである。関数ζ(k)の具体例は、ζ(k)=2−kやζ(k)=2−√kなどである。例えば、セキュリティパラメータkとに対し、式(4)の確率がO(2−k)未満である場合、組(G,Ω)によって定義される演算は擬似自由な作用である。また、例えば、任意の∀α∈Gでα≠egであるものについて、集合Ω・α={a(α)|a∈Ω}の要素数|Ω・α|が2kを超える場合、組(G,Ω)によって定義される演算は擬似自由な作用といえる。なお、a(α)は、aとαに所定の演算を作用させた結果を表す。このような具体例は数多く存在する。例えば、群Gが素数pを法とする剰余群Z/pZであり、素数pが2kのオーダーであり、集合Ω={0,...,p−2}であり、a(α)がαa∈Z/pZであり、α≠egである場合、Ω・α={αa|a=0,...,p−2}={eg,α1,...,αp−2}となり、|Ω・α|=p−1である。素数pが2kのオーダーであるため、ある定数Cが存在して、kが十分大きければ|Ω・α|>C2kを満たす。ここで式(4)の確率はC−12−k未満であり、このような組(G,Ω)によって定義される演算は擬似自由な作用である。
Pseudo-free action:
Group G, set of natural numbers Ω = {0,. . . , M} (M is a natural number greater than or equal to 1 ), realization values α∈X 1 (α ≠ e g ), β∈X 2 , and a∈Ω of random variables X 1 and X 2 having values in group G , the probability becomes α a = β Pr [α a = β cutlet α ≠ e g | a∈ U Ω , α∈
For the upper limit value regarding every possible X 1, X 2, referred to as pseudo-free indicator of the set (G, Omega), which will be expressed as P (G, Ω). There is a function ζ (k) that can be ignored,
P (G, Ω) <ζ (k) (5)
The operation defined by the pair (G, Ω) is a pseudo-free action. “Α a ” means that the operation defined in the group G is applied to α a times. An example of the function ζ (k) that can be ignored is that {ζ (k) p (k)} converges to 0 for a sufficiently large k for an arbitrary polynomial p (k). Specific examples of the function ζ (k) include ζ (k) = 2 −k and ζ (k) = 2 −√k . For example, when the probability of Expression (4) is less than O (2- k ) with respect to the security parameter k, the operation defined by the set (G, Ω) is a pseudo-free action. Further, for example, for those that are alpha ≠ e g in any ∀ Arufa∈G, set Ω · α = {a (α ) | a∈Ω} If exceeding 2 k, | number of elements | Omega · alpha The operation defined by the pair (G, Ω) can be said to be a pseudo-free action. Note that a (α) represents the result of applying a predetermined calculation to a and α. There are many such examples. For example, the group G is a residue group Z / pZ modulo a prime number p, the prime number p is on the order of 2 k , and the set Ω = {0,. . . A p-2}, a a (alpha) is alpha a ∈ Z / pZ, if it is α ≠ e g, Ω · α = {α a | a = 0 ,. . . , P-2} = {eg, α 1 ,. . . , Α p−2 }, and | Ω · α | = p−1. Since prime p is of the order of 2 k, then there exists a constant C, if k is sufficiently large | Ω · α |> meet C2 k. Here, the probability of the equation (4) is less than C - 12- k , and the operation defined by such a set (G, [Omega]) is a pseudo-free action.
信頼性δγ(δγ−reliable)の乱数化可能標本器:
自然数aが与えられるたびに、δ−reliableのf(τ)のブラックボックスF(τ)を用い、w∈Gについて、確率変数Xに従った標本x’に対応するwax’を返す乱数化可能標本器であって、wax’=waである確率がδγよりも大きい(γは正定数)、すなわち、
Pr[wax’=wa]>δγ …(6)
を満たすものを、信頼性δγな乱数化可能標本器という。本形態の入力情報提供部5104と第二出力情報計算部5202と第二計算部5108との組は、w=f(x)について、信頼性δγな乱数化可能標本器である。
A randomizable sampler with reliability δ γ (δ γ -reliable):
Each time a natural number a is given, a random number that uses a black box F (τ) of f (τ) of δ-reliable and returns w a x ′ corresponding to a sample x ′ according to a random variable X for w∈G a reduction can sampler, w a x '= w a is greater than [delta] gamma probability is (gamma positive constant), i.e.,
Pr [w a x ′ = w a ]> δ γ (6)
A sampler satisfying the condition is called a randomizable sampler with reliability δγ. Set of input
次に、これらの定義を用い、本形態の復号装置51で復号結果f(x)が得られる理由を説明する。
Next, the reason why a decoding result f (x) is obtained by the
本形態のステップS5110ではu’=vであるか、すなわち、ua=vであるかを判定している。本形態の入力情報提供部5104と第二出力情報計算部5202と第二計算部5108との組は信頼性δγな乱数化可能標本器であるため(式(6))、Tをk,δ,γから定まる一定値よりも大きい値とすれば、漸近的に大きい確率でua=vが成立する(ステップS5110でyesとなる)場合が生じる。たとえば、T≧4/δγとすれば、ua=vが成立する(ステップS5110でyesとなる)確率は1/2よりも大きいことがMarkovの不等式によってわかる。
In step S5110 of this embodiment, it is determined whether u ′ = v, that is, whether u a = v. For set of input
また、本形態ではu=f(x)x1及びv=f(x)ax2なのであるから、ua=vが成立する場合にはx1 a=x2が成立する。x1 a=x2が成立する場合には、x1=x2=egである場合とx1≠egである場合とがある。x1=x2=egである場合には、u=f(x)となるのであるから、ステップS5114で出力されるuは正しい復号結果f(x)となる。一方、x1≠egである場合には、u≠f(x)となるのであるから、ステップS5114で出力されるuは正しい復号結果f(x)ではない。 In this embodiment, since u = f (x) x 1 and v = f (x) a x 2 , when u a = v holds, x 1 a = x 2 holds. if x 1 a = x 2 is established, and a case is x 1 = x 2 = e If a g and x 1 ≠ e g. If it is x 1 = x 2 = e g, since it is of a u = f (x), u is output in step S5114 is correct decoding result f (x). On the other hand, in the case of x 1 ≠ e g, since it is of a u ≠ f (x), u is output in step S5114 is not the correct decoding result f (x).
群Gと自然数aが属する集合Ωとの組(G,Ω)によって定義される演算が擬似自由な作用であるか、疑似自由指標P(G,Ω)についてT2P(G,Ω)が漸近的に小さい場合、ua=vの場合にx1≠egである確率(式(4))は漸近的に小さい。したがって、ua=vの場合にx1=egである確率は漸近的に大きい。よって、組(G,Ω)によって定義される演算が擬似自由な作用であるか、T2P(G,Ω)が漸近的に小さい場合、ua=vの場合に誤った復号結果f(x)が出力される確率は、ua=vの場合に正しい復号結果f(x)が出力される確率よりも十分小さい。この場合の復号装置51はオールモスト自己訂正器であるといえる(式(2)参照)。そのため、前述のように、復号装置51からローバスト自己訂正器を構成することが可能であり、圧倒的な確率で正しい復号結果f(x)を得ることができる。(G,Ω)で定義される演算が疑似自由な作用である場合には、ua=vの場合に誤った復号結果f(x)が出力される確率も無視できる。この場合の復号装置51は、圧倒的な確率で正しい復号結果f(x)または⊥を出力する。
Whether the operation defined by the group (G, Ω) of the group G and the set Ω to which the natural number a belongs is a pseudo-free action, or T 2 P (G, Ω) is about the pseudo-free index P (G, Ω) If asymptotically small probability of x 1 ≠ e g in the case of u a = v (equation (4)) is asymptotically small. Thus, the probability that x 1 = e g in the case of u a = v is asymptotically large. Therefore, if the operation defined by the pair (G, Ω) is a pseudo-free action, or T 2 P (G, Ω) is asymptotically small, an erroneous decoding result f (when u a = v The probability that x) is output is sufficiently smaller than the probability that a correct decoding result f (x) is output when u a = v. It can be said that the
なお、任意の定数ρに対してk0が定まり、このk0に対してk0<k’を満たす任意のk’に対する関数値η(k’)がρ未満となる場合「η(k’)が漸近的に小さい」という。k’の例はセキュリティパラメータkである。 If k 0 is determined for an arbitrary constant ρ, and the function value η (k ′) for an arbitrary k ′ that satisfies k 0 <k ′ for this k 0 is less than ρ, “η (k ′ ) Is asymptotically small. " An example of k ′ is a security parameter k.
また、任意の定数ρに対してk0が定まり、このk0に対してk0<k’を満たす任意のk’に対する関数値1−η(k’)がρ未満となる場合「η(k’)が漸近的に大きい」という。 Further, Sadamari is k 0 for any constant [rho, for this k 0 k 0 <If function value for 'any k satisfying' k 1-eta of (k ') is less than [rho "eta ( k ′) is asymptotically large ”.
なお、aをa/bに置換すれば分かるように、上述の証明は第一実施形態で述べた「u’=v’が成立するのは、第一乱数化可能標本器がu=f(φ)bを正しく計算しており、第二乱数化可能標本器がv=f(φ)aを正しく計算している(x1及びx2が群Gの単位元egである)可能性が高い」ことの証明ともなる。 As can be seen by replacing a with a / b, the above proof is that “u ′ = v ′” described in the first embodiment is established because the first randomizable sampler is u = f ( has correctly calculate phi) b, the second random number of possible sampler is v = f (φ) is correctly calculate a (x 1 and x 2 are the identity e g in the group G) potential It is also a proof that
《信頼性δγな乱数化可能標本器と安全性について》
以下のような攻撃を想定する。
《Reliable δ γ randomizable sampler and safety》
Assume the following attacks.
・ブラックボックスF(τ)又はその部分が意図的に不正なzを出力する、又は、ブラックボックスF(τ)から出力された値が不正なzに改ざんされる。
・不正なzに対応するwax’が乱数化可能標本器から出力される。
・不正なzに対応するwax’は、自己訂正器CF(x)でua=vが成立する(ステップS5110でyesなる)にもかかわらず、自己訂正器CF(x)が誤った値を出力する確率を増加させる。
The black box F (τ) or its part intentionally outputs an incorrect z, or the value output from the black box F (τ) is altered to an incorrect z.
-W a x 'corresponding to an illegal z is output from a randomizable sampler.
The w a x ′ corresponding to the illegal z is determined by the self corrector C F (x) even though u a = v is satisfied in the self corrector C F (x) (yes in step S5110). Increase the probability of outputting an incorrect value.
このような攻撃は、与えられた自然数aに対して乱数化可能標本器から出力されたwax’の誤差の確率分布Da=wax’w−aが自然数aに依存する場合に可能となる。例えば、第二計算部5108から出力されるvがf(x)ax1 aとなるような不正が行われた場合、x1の値にかかわらず、必ずua=vが成立することになる。よって、与えられた自然数aに対して乱数化可能標本器から出力されたwax’の誤差の確率分布Da=wax’w−aが当該自然数aに依存しないことが望ましい。
Such attacks, if the probability distribution of the error of the output from the random number of possible sampler against natural number a given w a x 'D a = w a x'w -a depends on the natural number a It becomes possible. For example, if a fraud is performed such that v output from the
あるいは、、集合Ωのいかなる元a∈∀Ωについても、wax’の誤差の確率分布Da=wax’w−aと区別することができない群Gに値を持つ確率分布Dが存在する(確率分布Daと確率分布Dとが統計的に近似する(statistically−close))乱数化可能標本器であることが望ましい。なお、確率分布Dは自然数aに依存しない。また、確率分布Daと確率分布Dとを区別することができないとは、多項式時間アルゴリズムによって確率分布Daと確率分布Dとを区別することができないことを意味し、例えば、無視することができるζ(0≦ζ<1)に対して
Σg∈G|Pr[g∈D]−Pr[g∈Da]|<ζ …(7)
を満たすならば、多項式時間アルゴリズムによって確率分布Daと確率分布Dとを区別することができない。無視することができるζの例は、セキュリティパラメータkの関数値ζ(k)である。関数値ζ(k)の例は、任意の多項式p(k)について、十分大きいkに対して{ζ(k)p(k)}が0に収束するものである。関数値ζ(k)の具体例は、ζ(k)=2−kやζ(k)=2−√kなどである。また、これらの点は自然数a及びbを使用する第一実施形態から第四実施形態についても同様である。
Or for any original a∈ ∀ Ω of ,, set Omega, is w a x error probability distribution D a = w a x'w -a probability distribution D having a value in the group G can not be distinguished in the ' It is desirable that the sampler be a randomizable sampler that exists (statistically-close between the probability distribution Da and the probability distribution D). The probability distribution D does not depend on the natural number a. Further, the inability to distinguish between probability distributions D a probability distribution D, which means that it is impossible to distinguish between the probability distribution D a probability distribution D by a polynomial time algorithm, for example, be ignored For possible ζ (0 ≦ ζ <1), ΣgεG | Pr [gεD] −Pr [gεD a ] | <ζ (7)
If it satisfies, the probability distribution D a and the probability distribution D cannot be distinguished by the polynomial time algorithm. An example of ζ that can be ignored is the function value ζ (k) of the security parameter k. An example of the function value ζ (k) is such that {ζ (k) p (k)} converges to 0 for a sufficiently large k for an arbitrary polynomial p (k). Specific examples of the function value ζ (k) include ζ (k) = 2 −k and ζ (k) = 2 −√k . These points are the same in the first to fourth embodiments using the natural numbers a and b.
[変形例等]
確率変数X1、X2及びX3は、同じでも異なっていてもよい。
[Modifications, etc.]
The random variables X 1 , X 2 and X 3 may be the same or different.
第一乱数生成部、第二乱数生成部、第三乱数生成部、第四乱数生成部、第五乱数生成部、第六乱数生成部及び第七乱数生成部のそれぞれが一様乱数を生成することにより、復号制御システムの安全性を高くできる。しかし、求める安全性のレベルがそれほど高くない場合には、第一乱数生成部、第二乱数生成部、第三乱数生成部、第四乱数生成部、第五乱数生成部、第六乱数生成部及び第七乱数生成部の少なくとも一部が、一様乱数ではない乱数を生成してもよい。また、演算効率上からは、上述の各実施形態のように0以上KH未満の自然数である乱数や0以上KG未満の自然数である乱数が選択されることが望ましいが、それらの代わりにKH以上やKG以上の自然数の乱数が選択されてもよい。 Each of the first random number generator, the second random number generator, the third random number generator, the fourth random number generator, the fifth random number generator, the sixth random number generator, and the seventh random number generator generates a uniform random number. As a result, the security of the decoding control system can be increased. However, if the required level of security is not so high, the first random number generator, the second random number generator, the third random number generator, the fourth random number generator, the fifth random number generator, the sixth random number generator And at least a part of the seventh random number generator may generate a random number that is not a uniform random number. Also, from the computational efficiency, it is desirable that a natural number less than the random number and 0 or K G is a natural number from 0 to less than K H as the embodiments described above random number is selected, on their behalf K H above and K G or more natural number of the random number may be selected.
復号装置が同一のa,bに対応する第一入力情報τ1及び第二入力情報τ2を復号能力提供装置に提供するたびに、復号能力提供装置の処理が複数回実行させてもよい。これにより、復号装置が第一入力情報τ1及び第二入力情報τ2を復号能力提供装置に一回提供するたびに、復号装置は第一出力情報z1や第二出力情報z2や第三出力情報z3を複数個得ることができる。これにより、復号装置と復号能力提供装置との間のやり取り回数や通信量を減らすことができる。 Each time the decoding device provides the first input information τ 1 and the second input information τ 2 corresponding to the same a and b to the decoding capability providing device, the processing of the decoding capability providing device may be executed a plurality of times. Thus, each time the decoding device provides the first input information τ 1 and the second input information τ 2 to the decoding capability providing device once, the decoding device can output the first output information z 1 , the second output information z 2 , A plurality of three output information z 3 can be obtained. Thereby, the frequency | count and communication amount of communication between a decoding apparatus and a decoding capability provision apparatus can be reduced.
また、復号装置が複数種類の第一入力情報τ1及び第二入力情報τ2を復号能力提供装置にまとめて提供し、対応する第一出力情報z1や第二出力情報z2や第三出力情報z3を複数個まとめて取得してもよい。これにより、復号装置と復号能力提供装置との間のやり取り回数を減らすことができる。 Also, the decoding device collectively provides a plurality of types of first input information τ 1 and second input information τ 2 to the decoding capability providing device, and the corresponding first output information z 1 , second output information z 2 , third it may acquire the output information z 3 plurality together. Thereby, the frequency | count of the exchange between a decoding apparatus and a decoding capability provision apparatus can be reduced.
復号装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、復号能力提供装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。 Data exchange between each unit of the decoding device may be performed directly or may be performed via a storage unit (not shown). Similarly, data exchange between the respective units of the decoding capability providing apparatus may be performed directly or may be performed via a storage unit (not shown).
また、各実施形態の第一計算部や第二計算部において得られたuやvが群Gの元であるかを確認し、群Gの元であった場合には上述した処理を続行し、u又はvが群Gの元でなかった場合には、計算をすることができなかった旨の情報、例えば記号「⊥」が出力されてもよい。 In addition, it is confirmed whether u and v obtained in the first calculation unit and the second calculation unit of each embodiment are elements of the group G. If they are elements of the group G, the above-described processing is continued. If u, v or v is not an element of the group G, information indicating that the calculation could not be performed, for example, the symbol “⊥” may be output.
その他、本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。 In addition, the present invention is not limited to the above-described embodiment. For example, the various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。 Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。 The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads the program stored in its own recording device and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
1〜5 復号制御システム
11〜51 復号装置
12〜52 復号能力提供装置
13 復号制御装置
DESCRIPTION OF SYMBOLS 1-5 Decoding control system 11-51 Decoding apparatus 12-52 Decoding
Claims (12)
G,Hが巡回群、f(x)が群Hの元である暗号文xを特定の復号鍵で復号して群Gの元を得るための復号関数、X1,X2が群Gに値を持つ確率変数、x1が確率変数X1の実現値、x2が確率変数X2の実現値、a,bが互いに素である自然数であり、
前記復号装置が、
前記暗号文xに対応する群Hの元である第一入力情報τ1及び第二入力情報τ2を出力する入力情報提供部を含み、
前記復号能力提供装置が、
前記第一入力情報τ1を用い、或る確率より大きな確率でf(τ1)を正しく計算し、得られた演算結果を第一出力情報z1として出力可能な第一出力情報生成部と、
前記第二入力情報τ2を用い、或る確率より大きな確率でf(τ2)を正しく計算し、得られた演算結果を第二出力情報z2として出力可能な第二出力情報生成部と、を含み、
前記復号装置が、さらに
前記第一出力情報z1から演算結果u=f(x)bx1を生成する第一計算部と、
前記第二出力情報z2から演算結果v=f(x)ax2を生成する第二計算部と、
前記演算結果u及びvがua=vbを満たす場合に、a’a+b’b=1を満たす整数a’,b’についてのub’va’を出力する最終出力部と、を含み、
前記復号制御装置が、前記復号装置の復号処理を制御する復号制御命令を前記復号能力提供装置に出力する出力部を含み、
前記復号能力提供装置が、さらに、
前記復号制御命令に従って、前記第一出力情報z1及び前記第二出力情報z2の両方の出力の有無を制御する制御部を含む、
復号制御システム。 A decoding device, a decoding capability providing device, and a decoding control device;
G and H are cyclic groups, and f (x) is a decryption function for decrypting a ciphertext x that is an element of the group H with a specific decryption key to obtain an element of the group G, and X 1 and X 2 are group G A random variable having a value, x 1 is an actual value of the random variable X 1 , x 2 is an actual value of the random variable X 2 , and a and b are natural numbers that are relatively prime,
The decoding device is
An input information providing unit that outputs first input information τ 1 and second input information τ 2 that are elements of the group H corresponding to the ciphertext x,
The decryption capability providing device comprises:
A first output information generating unit capable of correctly calculating f (τ 1 ) with a probability larger than a certain probability using the first input information τ 1 and outputting the obtained operation result as the first output information z 1 ; ,
A second output information generating unit capable of correctly calculating f (τ 2 ) with a probability larger than a certain probability using the second input information τ 2 and outputting the obtained calculation result as second output information z 2 ; Including,
The decoding device further generates a calculation result u = f (x) b x 1 from the first output information z 1 ;
A second calculation unit that generates a calculation result v = f (x) a x 2 from the second output information z 2 ;
A final output unit that outputs u b ′ v a ′ for integers a ′ and b ′ satisfying a′a + b′b = 1 when the calculation results u and v satisfy u a = v b ,
The decoding control device includes an output unit that outputs a decoding control instruction for controlling a decoding process of the decoding device to the decoding capability providing device,
The decoding capability providing device further includes:
In accordance with the decoding control instruction, a control unit that controls whether or not both the first output information z 1 and the second output information z 2 are output,
Decryption control system.
前記復号装置が、前記自然数a,bの少なくとも一方を選択する自然数選択部を含み、
前記第一入力情報τ1が前記自然数bにさらに対応し、前記第二入力情報τ2が前記自然数aにさらに対応する、
復号制御システム。 The decoding control system according to claim 1, wherein
The decoding device includes a natural number selection unit that selects at least one of the natural numbers a and b,
The first input information τ 1 further corresponds to the natural number b, and the second input information τ 2 further corresponds to the natural number a.
Decryption control system.
前記入力情報提供部が、前記暗号文xとの関係をかく乱させた情報を前記第一入力情報τ1及び前記第二入力情報τ2とする、
復号制御システム。 In the decoding control system according to claim 1 or 2,
The input information providing unit sets the information that disturbs the relationship with the ciphertext x as the first input information τ 1 and the second input information τ 2 .
Decryption control system.
前記復号関数f(x)が準同型関数、群Hの生成元がμh、群Hの位数がKH、ν=f(μh)であり、
前記入力情報提供部が、
0以上の自然数の乱数r1を生成する第一乱数生成部と、
前記第一入力情報τ1としてμh r1xbを計算する第一入力情報計算部と、
0以上の自然数の乱数r2を生成する第二乱数生成部と、
前記第二入力情報τ2としてμh r2xaを計算する第二入力情報計算部と、を含み、
前記第一出力情報計算部は、前記第一入力情報μh r1xbを用い、或る確率より大きな確率でf(μh r1xb)を正しく計算し、得られた計算結果を前記第一出力情報z1とし、
前記第二出力情報計算部は、前記第二入力情報μh r2xaを用い、或る確率より大きな確率でf(μh r2xa)を正しく計算し、得られた計算結果を第二出力情報z2とし、
前記第一計算部は、z1ν−r1を計算してその計算結果を前記uとし、
前記第二計算部は、z2ν−r2を計算してその計算結果を前記vとする、
復号制御システム。 In the decoding control system according to any one of claims 1 to 3,
The decoding function f (x) is a homomorphic function, the group H generator is μ h , the group H order is K H , and ν = f (μ h ),
The input information providing unit
A first random number generator that generates a random number r 1 of a natural number greater than or equal to 0;
A first input information calculation unit for calculating μ h r1 x b as the first input information τ 1 ;
A second random number generator that generates a random number r 2 of a natural number greater than or equal to 0;
A second input information calculation unit for calculating μ h r2 x a as the second input information τ 2 ,
The first output information calculation unit uses the first input information μ h r1 x b to correctly calculate f (μ h r1 x b ) with a probability larger than a certain probability, and obtains the obtained calculation result as the first output information. One output information z 1
The second output information calculation unit uses the second input information μ h r2 x a to correctly calculate f (μ h r2 x a ) with a probability larger than a certain probability, and obtains the obtained calculation result as a second Output information z 2
The first calculation unit calculates z 1 v −r1 and sets the calculation result as u,
The second calculation unit calculates z 2 v −r2 and sets the calculation result as v.
Decryption control system.
前記第一乱数生成部が、b≠1のときに前記乱数r1を生成し、
前記第一入力情報計算部が、b≠1のときに前記第一入力情報τ1として前記μh r1xbを計算し、
前記第一出力情報計算部が、b≠1のときに前記第一入力情報μh r1xbを用いて得られた前記計算結果を前記第一出力情報z1とし、
前記第一計算部が、b≠1のときにz1ν−r1を計算してその計算結果を前記uとし、
前記第二乱数生成部が、a≠1のときに前記乱数r2を生成し、
前記第二入力情報計算部が、a≠1のときに前記第二入力情報τ2としてμh r2xaを計算し、
前記第二出力情報計算部が、a≠1のときに前記第二入力情報μh r2xaを用いて得られた前記計算結果を第二出力情報z2とし、
前記第二計算部が、a≠1のときにz2ν−r2を計算してその計算結果を前記vとし、
前記入力情報提供部が、
0以上の自然数の乱数r3を生成する第三乱数生成部と、
b=1のときにxr3を前記第一入力情報τ1とし、a=1のときにxr3を前記第二入力情報τ2とする第三入力情報計算部と、を含み、
前記復号能力提供装置が、
前記xr3を用い、或る確率より大きな確率でf(xr3)を正しく計算し、得られた計算結果を第三出力情報z3とする第三出力情報計算部を含み、
前記復号装置が、
b=1のときにz3 1/r3を前記uとし、a=1のときにz3 1/r3を前記vとする第三計算部を含む、
復号制御システム。 The decoding control system according to claim 4,
The first random number generator generates the random number r 1 when b ≠ 1;
The first input information calculation unit calculates the μ h r1 x b as the first input information τ 1 when b ≠ 1;
The first output information calculation unit sets the first output information z 1 as the calculation result obtained using the first input information μ h r1 x b when b ≠ 1.
The first calculation unit calculates z 1 ν −r1 when b ≠ 1, and sets the calculation result as u,
The second random number generator generates the random number r 2 when a ≠ 1,
The second input information calculation unit calculates μ h r2 x a as the second input information τ 2 when a ≠ 1;
The second output information calculation unit sets the calculation result obtained by using the second input information μ h r2 x a when a ≠ 1 as second output information z 2 ,
The second calculation unit calculates z 2 ν −r2 when a ≠ 1, and sets the calculation result as v,
The input information providing unit
A third random number generator that generates a random number r 3 of a natural number greater than or equal to 0;
b = 1 when the x r3 and the first input information tau 1 to include a third input information calculating section to the second input information tau 2 the x r3 to when a = 1,
The decryption capability providing device comprises:
A third output information calculation unit that correctly calculates f (x r3 ) with a probability larger than a certain probability using x r3 and sets the obtained calculation result as third output information z 3 ;
The decoding device is
a third calculation unit including z 3 1 / r3 as u when b = 1 and z 3 1 / r3 as v when a = 1,
Decryption control system.
群H=G×G、前記復号関数f(x)が準同型関数、群Gの生成元がμg、群Gの位数がKG、x=(c1,c2),(V,W)が群Hの元、f(V,W)=Yであり、
前記入力情報提供部が、
0以上の自然数の乱数r4を生成する第四乱数生成部と、
0以上の自然数の乱数r5を生成する第五乱数生成部と、
前記第一入力情報τ1としてc2 bWr4及びc1 bVr4μg r5を計算する第一入力情報計算部と、
0以上の自然数の乱数r6を生成する第六乱数生成部と、
0以上の自然数の乱数r7を生成する第七乱数生成部と、
前記第二入力情報τ2としてc2 aWr6及びc1 aVr6μg r7を計算する第二入力情報計算部と、を含み、
前記第一出力情報計算部が、前記第一入力情報c1 bVr4μg r5及びc2 bWr4を用い、或る確率より大きな確率でf(c1 bVr4μg r5,c2 bWr4)を正しく計算し、得られた計算結果を前記第一出力情報z1とし、
前記第二出力情報計算部が、前記第二入力情報c1 aVr6μg r7及びc2 aWr6を用い、或る確率より大きな確率でf(c1 aVr6μg r7,c2 aWr6)を正しく計算し、得られた計算結果を前記第二出力情報z2とし、
前記第一計算部が、z1Y−r4μg −r5を計算してその計算結果を前記uとし、
前記第二計算部が、z2Y−r6μg −r7を計算してその計算結果を前記vとする、
復号制御システム。 In the decoding control system according to any one of claims 1 to 3,
Group H = G × G, the decoding function f (x) is a homomorphic function, the group G generator is μ g , the group G order is K G , x = (c 1 , c 2 ), (V, W) is an element of group H, f (V, W) = Y,
The input information providing unit
A fourth random number generator that generates a random number r 4 of a natural number greater than or equal to 0;
A fifth random number generator for generating a random number r 5 having a natural number of 0 or more;
A first input information calculation unit for calculating a c 2 b W r4 and c 1 b V r4 μ g r5 as the first input information tau 1,
A sixth random number generator for generating a random number r 6 having a natural number of 0 or more;
A seventh random number generator for generating a random number r 7 having a natural number of 0 or more;
Anda second input information calculation unit for calculating a c 2 a W r6 and c 1 a V r6 μ g r7 as the second input information tau 2,
Said first output information calculating unit, the first input information c 1 b V r4 μ g r5 and c 2 b W using r4, with greater probability than a certain probability f (c 1 b V r4 μ g r5, c 2 b W r4 ) is correctly calculated, and the obtained calculation result is the first output information z 1 .
The second output information calculating unit, the second input information c 1 a V r6 μ g using r7 and c 2 a W r6, with greater probability than a certain probability f (c 1 a V r6 μ g r7, c 2 a W r6 ) is correctly calculated, and the obtained calculation result is the second output information z 2 ,
Wherein the first calculation unit, and the calculation result and the u by calculating the z 1 Y -r4 μ g -r5,
The second calculation unit, and the calculation result and the v by calculating a z 2 Y -r6 μ g -r7,
Decryption control system.
前記演算結果uのf(x)bに対する誤差の確率分布が前記自然数bに依存しない、並びに/若しくは、前記演算結果vのf(x)aに対する誤差の確率分布が前記自然数aに依存しない、又は、前記演算結果uのf(x)bに対する誤差の確率分布と区別することができない前記自然数bに依存しない確率分布が存在する、並びに/若しくは、前記演算結果vのf(x)aに対する誤差の確率分布と区別することができない前記自然数aに依存しない確率分布が存在する、
復号制御システム。 In the decoding control system according to any one of claims 1 to 6,
The probability distribution of errors of the calculation result u with respect to f (x) b does not depend on the natural number b, and / or the probability distribution of errors of the calculation result v with respect to f (x) a does not depend on the natural number a. Or, there is a probability distribution that does not depend on the natural number b, which cannot be distinguished from the error probability distribution of the calculation result u with respect to f (x) b , and / or the calculation result v of f (x) a with respect to f (x) a There is a probability distribution that does not depend on the natural number a and cannot be distinguished from the probability distribution of errors.
Decryption control system.
前記自然数a又は前記自然数bが定数である、
復号制御システム。 In the decoding control system according to any one of claims 1 to 7,
The natural number a or the natural number b is a constant;
Decryption control system.
前記暗号文xに対応する群Hの元である第一入力情報τ1を用い、或る確率より大きな確率でf(τ1)を正しく計算し、得られた演算結果を第一出力情報z1として出力可能な第一出力情報生成部と、
前記暗号文xに対応する群Hの元である第二入力情報τ2を用い、或る確率より大きな確率でf(τ2)を正しく計算し、得られた演算結果を第二出力情報z2として出力可能な第二出力情報生成部と、
入力された復号制御命令に従って、前記第一出力情報z1及び前記第二出力情報z2の両方の出力の有無を制御する制御部と、
を有する復号能力提供装置。 G and H are cyclic groups, and f (x) is a decryption function for decrypting a ciphertext x that is an element of the group H with a specific decryption key to obtain an element of the group G, and X 1 and X 2 are group G A random variable having a value, x 1 is an actual value of the random variable X 1 , x 2 is an actual value of the random variable X 2 , and a and b are natural numbers that are relatively prime,
Using the first input information τ 1 that is an element of the group H corresponding to the ciphertext x, f (τ 1 ) is correctly calculated with a probability larger than a certain probability, and the obtained operation result is obtained as the first output information z. A first output information generation unit capable of outputting as 1 ,
Using the second input information τ 2 that is an element of the group H corresponding to the ciphertext x, f (τ 2 ) is correctly calculated with a probability larger than a certain probability, and the obtained operation result is obtained as the second output information z. A second output information generator capable of outputting as 2 ,
A control unit that controls whether or not both of the first output information z 1 and the second output information z 2 are output according to the input decoding control command;
A decoding capability providing device.
G,Hが巡回群、f(x)が群Hの元である暗号文xを特定の復号鍵で復号して群Gの元を得るための復号関数、X1,X2が群Gに値を持つ確率変数、x1が確率変数X1の実現値、x2が確率変数X2の実現値、a,bが互いに素である自然数であり、
(A)前記復号装置で、前記暗号文xに対応する群Hの元である第一入力情報τ1及び第二入力情報τ2を出力するステップと、
(B)前記復号能力提供装置で、前記第一入力情報τ1を用い、或る確率より大きな確率でf(τ1)を正しく計算し、得られた演算結果を第一出力情報z1として出力可能なステップと、
(C)前記復号能力提供装置で、前記第二入力情報τ2を用い、或る確率より大きな確率でf(τ2)を正しく計算し、得られた演算結果を第二出力情報z2として出力可能なステップと、
(D)前記復号装置で、前記第一出力情報z1から演算結果u=f(x)bx1を生成するステップと、
(E)前記復号装置で、前記第二出力情報z2から演算結果v=f(x)ax2を生成するステップと、
(F)前記復号装置で、前記演算結果u及びvがua=vbを満たす場合に、a’a+b’b=1を満たす整数a’,b’についてのub’va’を出力するステップと、を有し、
前記ステップ(B)及び前記ステップ(C)の少なくとも一方は、
前記復号制御装置から出力された前記復号装置の復号処理を制御する復号制御命令に従って、前記第一出力情報z1及び前記第二出力情報z2の両方の出力の有無を制御するステップを含む、
復号制御方法。 A decoding control method executed by a decoding device, a decoding capability providing device, and a decoding control device,
G and H are cyclic groups, and f (x) is a decryption function for decrypting a ciphertext x that is an element of the group H with a specific decryption key to obtain an element of the group G, and X 1 and X 2 are group G A random variable having a value, x 1 is an actual value of the random variable X 1 , x 2 is an actual value of the random variable X 2 , and a and b are natural numbers that are relatively prime,
(A) In the decryption device, outputting first input information τ 1 and second input information τ 2 that are elements of the group H corresponding to the ciphertext x;
(B) In the decoding capability providing apparatus, using the first input information τ 1 , f (τ 1 ) is correctly calculated with a probability larger than a certain probability, and the obtained calculation result is used as the first output information z 1. Steps that can be output
(C) In the decoding capability providing apparatus, the second input information τ 2 is used, f (τ 2 ) is correctly calculated with a probability larger than a certain probability, and the obtained calculation result is set as the second output information z 2. Steps that can be output
(D) generating a calculation result u = f (x) b x 1 from the first output information z 1 in the decoding device;
(E) generating a calculation result v = f (x) a x 2 from the second output information z 2 in the decoding device;
(F) In the decoding device, when the calculation results u and v satisfy u a = v b , u b ′ v a ′ is output for integers a ′ and b ′ satisfying a′a + b′b = 1. And a step of
At least one of the step (B) and the step (C) is:
Controlling whether or not both the first output information z 1 and the second output information z 2 are output according to a decoding control instruction for controlling a decoding process of the decoding device output from the decoding control device,
Decryption control method.
G,Hが巡回群、f(x)が群Hの元である暗号文xを特定の復号鍵で復号して群Gの元を得るための復号関数、X1,X2が群Gに値を持つ確率変数、x1が確率変数X1の実現値、x2が確率変数X2の実現値、a,bが互いに素である自然数であり、
(A)第一出力情報生成部で、前記暗号文xに対応する群Hの元である第一入力情報τ1を用い、或る確率より大きな確率でf(τ1)を正しく計算し、得られた演算結果を第一出力情報z1とするステップと、
(B)第二出力情報生成部で、前記暗号文xに対応する群Hの元である第二入力情報τ2を用い、或る確率より大きな確率でf(τ2)を正しく計算し、得られた演算結果を第二出力情報z2とするステップと、を有し、
前記ステップ(A)及び前記ステップ(B)の少なくとも一方は、
前記復号能力提供装置に入力された復号制御命令に従って、前記第一出力情報z1及び前記第二出力情報z2の両方の出力の有無を制御するステップを含む、
復号能力提供方法。 A decoding capability providing method of a decoding capability providing apparatus, comprising:
G and H are cyclic groups, and f (x) is a decryption function for decrypting a ciphertext x that is an element of the group H with a specific decryption key to obtain an element of the group G, and X 1 and X 2 are group G A random variable having a value, x 1 is an actual value of the random variable X 1 , x 2 is an actual value of the random variable X 2 , and a and b are natural numbers that are relatively prime,
(A) The first output information generation unit correctly calculates f (τ 1 ) with a probability larger than a certain probability using the first input information τ 1 that is an element of the group H corresponding to the ciphertext x. A step of setting the obtained calculation result as the first output information z 1 ;
(B) The second output information generation unit correctly calculates f (τ 2 ) with a probability larger than a certain probability using the second input information τ 2 that is an element of the group H corresponding to the ciphertext x. A step of setting the obtained calculation result as second output information z 2 ,
At least one of the step (A) and the step (B) is:
According to the decoding capability providing apparatus is input to the decoding control commands, comprising the step of controlling the presence or absence of the output of both of said first output information z 1 and the second output information z 2,
Decoding capability provision method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011087995A JP5596612B2 (en) | 2011-04-12 | 2011-04-12 | Decoding control system and decoding control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011087995A JP5596612B2 (en) | 2011-04-12 | 2011-04-12 | Decoding control system and decoding control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012220814A true JP2012220814A (en) | 2012-11-12 |
| JP5596612B2 JP5596612B2 (en) | 2014-09-24 |
Family
ID=47272362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011087995A Active JP5596612B2 (en) | 2011-04-12 | 2011-04-12 | Decoding control system and decoding control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5596612B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012220834A (en) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | Re-encryption system, re-encryption device, re-encryption method, capability providing method, and program |
| WO2014112523A1 (en) | 2013-01-16 | 2014-07-24 | 日本電信電話株式会社 | Decryption-service provision device, processing device, safety evaluation device, program, and recording medium |
| WO2015008605A1 (en) | 2013-07-18 | 2015-01-22 | 日本電信電話株式会社 | Calculation device, calculation method, and program |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005029990A (en) * | 2003-07-08 | 2005-02-03 | Toyota Motor Corp | Mobile terminal and remote control device |
-
2011
- 2011-04-12 JP JP2011087995A patent/JP5596612B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005029990A (en) * | 2003-07-08 | 2005-02-03 | Toyota Motor Corp | Mobile terminal and remote control device |
Non-Patent Citations (8)
| Title |
|---|
| CSNJ201010083098; 山本 剛,小林 鉄太郎: '"準同型写像に対する自己訂正について"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 2D2 数論応用,2D2-3, 20100122, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 * |
| CSNJ201110015073; 山本剛,小林鉄太郎: '暗号モジュールに対する自己訂正器' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] , 20110125, pp.1-8 * |
| CSNJ201110015074; 川原 祐人,山本 剛,小林 鉄太郎,高木 剛: 'ペアリング暗号システムにおける自己訂正を用いた復号モジュールの構成および実装' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 2F1 鍵管理,2F1-2, 20110128, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 * |
| CSNJ201110015075; 小林 鉄太郎,山本 剛,山本 具英,高橋 克巳: 'クラウド計算における鍵管理' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 2F1 鍵管理,2F1-4, 20110125, pp.1-4, 電子情報通信学会情報セキュリティ研究専門委員会 * |
| JPN6014011289; 山本 剛,小林 鉄太郎: '"準同型写像に対する自己訂正について"' 2010年 暗号と情報セキュリティシンポジウム SCIS2010 [CD-ROM] 2D2 数論応用,2D2-3, 20100122, p.1-6, 電子情報通信学会情報セキュリティ研究専門委員会 * |
| JPN6014011291; 川原 祐人,山本 剛,小林 鉄太郎,高木 剛: 'ペアリング暗号システムにおける自己訂正を用いた復号モジュールの構成および実装' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 2F1 鍵管理,2F1-2, 20110128, p.1-8, 電子情報通信学会情報セキュリティ研究専門委員会 * |
| JPN6014016779; 山本剛,小林鉄太郎: '暗号モジュールに対する自己訂正器' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] , 20110125, pp.1-8 * |
| JPN6014016782; 小林 鉄太郎,山本 剛,山本 具英,高橋 克巳: 'クラウド計算における鍵管理' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 2F1 鍵管理,2F1-4, 20110125, pp.1-4, 電子情報通信学会情報セキュリティ研究専門委員会 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012220834A (en) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | Re-encryption system, re-encryption device, re-encryption method, capability providing method, and program |
| WO2014112523A1 (en) | 2013-01-16 | 2014-07-24 | 日本電信電話株式会社 | Decryption-service provision device, processing device, safety evaluation device, program, and recording medium |
| US9735963B2 (en) | 2013-01-16 | 2017-08-15 | Nippon Telegraph And Telephone Corporation | Decryption service providing device, processing device, safety evaluation device, program, and recording medium |
| WO2015008605A1 (en) | 2013-07-18 | 2015-01-22 | 日本電信電話株式会社 | Calculation device, calculation method, and program |
| JP6067856B2 (en) * | 2013-07-18 | 2017-01-25 | 日本電信電話株式会社 | Calculation device, calculation method, and program |
| EP3010178A4 (en) * | 2013-07-18 | 2017-02-22 | Nippon Telegraph And Telephone Corporation | Calculation device, calculation method, and program |
| US9842086B2 (en) | 2013-07-18 | 2017-12-12 | Nippon Telegraph And Telephone Corporation | Calculation device, calculation method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5596612B2 (en) | 2014-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5491638B2 (en) | Proxy calculation system, calculation device, capability providing device, proxy calculation method, capability providing method, program, and recording medium | |
| CN112016120B (en) | Event prediction method and device based on user privacy protection | |
| CN108063756B (en) | Key management method, device and equipment | |
| JP5562284B2 (en) | Re-encryption system, re-encryption device, capability providing device, re-encryption method, capability provision method, and program | |
| CN110011954B (en) | Homomorphic encryption-based biological identification method, device, terminal and business server | |
| EP3454236B1 (en) | Authenticator, authenticatee and authentication method | |
| JP5957095B2 (en) | Tamper detection device, tamper detection method, and program | |
| CN110061840A (en) | Data ciphering method, device, computer equipment and storage medium | |
| CN109145563B (en) | Identity verification method and device | |
| CN111159723A (en) | Cryptographic data sharing control for blockchains | |
| JP5596612B2 (en) | Decoding control system and decoding control method | |
| US9054877B2 (en) | Data expansion using an approximate method | |
| JP5972181B2 (en) | Tamper detection device, tamper detection method, and program | |
| EP3633656B1 (en) | Secret tampering detection system, secret tampering detection apparatus, secret tampering detection method, and program | |
| EP2947813A1 (en) | Decryption-service provision device, processing device, safety evaluation device, program, and recording medium | |
| JP5596616B2 (en) | Information providing system, mediating apparatus, mediating method, information providing method, and program | |
| KR102132685B1 (en) | Apparatus and method for order-revealing encryption | |
| CN114419719B (en) | Biological characteristic processing method and device | |
| CN101539890A (en) | Data processing system, cryptogram management method and data reading and writing method | |
| CN115550071B (en) | Data processing method, device, storage medium and equipment | |
| CN115987489B (en) | Lightweight encryption and decryption method and device and storage medium | |
| CN115982742A (en) | Service execution method, device, storage medium and electronic equipment | |
| CN116455657A (en) | Service providing method, device, equipment and system | |
| CN117375850A (en) | Password integrated application method, system and medium | |
| CN106941473A (en) | A kind of encryption method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130718 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140416 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140422 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140618 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140805 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140807 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5596612 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |